Le blog technique

Toutes les astuces #tech des collaborateurs de PI Services.

#openblogPI

Voir tous les articles

Retrouvez les articles à la une

AD – Référence des extensions de schéma Active Directory, Exchange et OCS

par | 8 Sep 2010 |

Ce billet a pour objectif de référencer les versions des différentes extensions de schéma disponibles pour Active Directory, Exchange et LCS/OCS.

Remarque : Les versions intermédiaires (Beta, RC, CTP…) des produits utilisent des numéros de versions spécifiques qui ne sont pas indiqué dans ce billet (seules les versions finales ou RTM sont prises en compte).

Extensions de schéma Active Directory

Le tableau ci-dessous liste les différentes versions de schéma existantes pour l’annuaire Active Directory.

Versions d’Active Directory Valeur de l’attribut objectVersion
Windows 2000 Server 13
Windows Server 2003 30
Windows Server 2003 R2 31
Windows Server 2008 44
Windows Server 2008 R2 47

 

Extensions de schéma Exchange

Le tableau ci-dessous liste les différentes versions de schéma existantes pour la plateforme de messagerie Exchange.

Versions d’Exchange Valeur de l’attribut rangeUpper
Exchange 2000 4397
Exchange 2000 SP3 4406
Exchange 2003 6870
Exchange 2007 10628
Exchange 2007 SP1 11116
Exchange 2007 SP2 14622
Exchange 2007 SP3 14625
Exchange 2010 14622
Exchange 2010 SP1 14726

 

Extensions de schéma LCS/OCS

Le tableau ci-dessous liste les différentes versions de schéma existantes pour le logiciel de collaboration Office Communication Server (OCS).

Versions d’OCS Valeur de l’attribut rangeUpper
LCS 2005 1006
OCS 2007 1007
OCS 2007 R2 1008

 

Comment vérifier manuellement une version de schéma ?

Pour vérifier manuellement la version du schéma Active Directory, plusieurs options sont possibles :

  • Utiliser la console ADSIEdit, ouvrir la partition de schéma, puis afficher la valeur de l’attribut objectVersion sur le conteneur « CN=Schema,CN=Configuration,DC=domaine,DC=local »
  • Exécuter la commande suivante :
    dsquery.exe * « CN=Schema,CN=Configuration,DC=domaine,DC=local » -scope base -attr objectversion

 

Pour vérifier manuellement la version du schéma Exchange, plusieurs options sont possibles :

  • Utiliser la console ADSIEdit, ouvrir la partition de schéma, puis afficher la valeur de l’attribut rangeUpper sur l’attribut ms-Exch-Schema-Version-Pt
  • Exécuter la commande suivante :

dsquery * CN=ms-Exch-Schema-Version-Pt,cn=schema,cn=configuration,dc=domaine, dc=local -scope base –attr rangeUpper

Pour vérifier manuellement la version du schéma OCS, plusieurs options sont possibles :

  • Utiliser la console ADSIEdit, ouvrir la partition de schéma, puis afficher la valeur de l’attribut rangeUpper sur l’attribut ms-RTC-SIP-SchemaVersion
  • Exécuter la commande suivante :

dsquery.exe * CN=ms-RTC-SIP-SchemaVersion,CN=Schema,CN=Configuration, DC=domaine,DC=com -scope base -attr rangeupper

SEP – Installation de SAV 10 sur linux

par | 30 Août 2010 |

L’installation de SAV 10 demande des pré-requis d’installation.

Avant d’installer tous les paquets, vous devez installer Sun JRE version 1.4.2 ou supérieur avec la version illimitée de JCE. Par défaut, JRE est livré avec la version de cryptographie forte de JCE, mais LiveUpdate nécessite la version illimitée. Si vous voulez utiliser l’interface graphique, vous devez également installer un environnement X11.

Il y a des pré-requis supplémentaires pour certains noyaux Linux (Fedora et Debian). Red Hat étant nativement supporté, nous ne détaillerons pas ces pré-requis.

Ils sont disponibles sur le site de Symantec à l’addresse : http://service1.symantec.com/support/ent-security.nsf/docid/2010062217010148.

L’installation des packages sous Linux doit respecter un ordre précis :

1. SAV

2. savap (ou savap-x64 pour la version 64-bit)

3. savjlu

4. savui

En premier, le noyau de SAV : SAV

Il contient le noyeau : « savap »

Il utilise une fonctionalité de recherche d’OS et de composants dont il a besoin.

Attention, au moment du démarrage du système, SAV pour Linux détecte la distribution Linux exécutée et assemble une liste des modules du noyau.

« Using a « fuzzy match » algorithm, it will go through the list of candidates, one at a time, until it finds one that can be loaded by the Linux OS. »

L’utilisation d’un algoritme à adéquation partielle (« fuzzy match ») permet de lister les composants un à un, jusqu’à ce qu’il trouve celui qui peut être chargé par le système d’exploitation Linux.

Si aucun des systèmes linux n’est détecté comme compatible et ne peut être chargé dans le noyau, SAV pour Linux va écrire un message d’erreur dans la console et enregistrer l’erreur dans le journal des messages du système (/var/log/messages ou /var/log/syslog).

Les deux autres paquets contiennent Java et les fichiers LiveUpdate GUI.

Une fois l’installation terminée, vérifiez que les démons suivants sont en cours d’exécution:

1. rtvscand

2. symcfgd

Si ces processus ne sont pas en cours d’exécution, vous pouvez les démarrer comme suit:

1. # / Etc / init.d / start rtvscand

2. # / Etc / init.d / start symcfgd

Pour rappel :

Doc Sav 10 linux : Lien FTP

Pour préconfigurer le package de SAV 10 for Linux, il faut utiliser « ConfigEd.exe ».

test

http://service1.symantec.com/SUPPORT/ent-security.nsf/docid/2007100513224548?Open&seg=ent

Cette application demande la présence d’un SAV sur le poste qui l’exécute.

Note : il est possible de passer des commandes d’exclusion de Scan, directement sur le serveur une fois celui ci installé :

http://service1.symantec.com/SUPPORT/ent-security.nsf/docid/2009072917021448?Open&seg=ent

Pour info :

un script et un fichier texte commençant par #!/bin/sh

Exemple de script pour faire une exclusion :

#!/bin/sh

symcfg add -k '\Symantec Endpoint Protection\AV\Storages\FileSystem\RealTimeScan' -v HaveExceptionDirs -d 1 -t REG_DWORD

symcfg add -k '\Symantec Endpoint Protection\AV\Storages\FileSystem\RealTimeScan\NoScanDir' -v /my/path/to/folder1 -d 1 -t REG_DWORD

/my/path/to/folder1 étant le chemin du dossier à exclure.

(Lu depuis http://www.tuteurs.ens.fr/unix/shell/script.html )

ensuite il faut le rendre exécutable chmod u+x lenomdufichier et pour le lancer soit : ./lenomdufichier ou sh lenomdufichier

Faille de sécurité Microsoft exploitant les raccourcis

par | 22 Juil 2010 | ,

 

Cette grosse faille de sécurité a été publiée par Microsoft le 16 juillet dernier ( CVE-2010-2568 ). Elle exploite le mode de fonctionnement des raccourcis ( « .LNK » ) sur tous les OS Windows. Bien sûr la mise à disposition du patch correspondant sera annoncée dans le bulletin de sécurité :http://www.microsoft.com/technet/security/advisory/2286198.mspx.

L’exploitation de cette faille se traduit par le fait, qu’un malware puisse s’exécuter par le biais du détournement du mécanisme d’affichage d’icône.

Cette vulnérabilité est exploitable localement par disque amovible ou via des partages réseaux et WebDAV

Il n’existe pas de correctif à ce jour. Mais en attendant des solutions de contournement recommandées par Microsoft peuvent-être mises en place.

La désactivation de l’affichage d’icône pour les raccourcis peu ainsi limiter les risques d’exploitation de cette faille. Cette solution affiche les icônes en blanc par défaut. Pour se faire il est nécessaire depuis l’éditeur de registre, de rechercher dans la ruche HKEY_CLASS_ROOT, IconHandler afin de modifier sa valeur par défaut par 0 après l’avoir exporté pour revenir à la valeur précédente dès la sortie d’une mise à jour.

Autre solution de contournement la désactivation du service WebClient se fait en passant par le gestionnaire de l’ordinateur ou en exécutant services.msc

Enfin troisième solution le blocage du téléchargement des fichiers LNK et PIF depuis Internet est recommandé. 

La liste des systèmes Windows concernés et supportés s’étend de Windows XP SP3 à Windows Serveur 2008R2.

Notez que des éditeurs d’antivirus (Sophos, Eset) ont déjà répertorié Stuxnet depuis mi-juillet exploitant cette vulnérabilité.

MAJ: Le 3 Aout Microsoft apporte une réponse par la mise en ligne de l’update KB2286198 annoncé dans le bulletin de sécurité suivant http://www.microsoft.com/technet/security/bulletin/MS10-046.mspx

Derniers articles

Aucun résultat

La page demandée est introuvable. Essayez d'affiner votre recherche ou utilisez le panneau de navigation ci-dessus pour localiser l'article.

Catégories

Archives

Auteurs/Autrices