Le Blog Technique

Nouveau module Exchange atténuant automatiquement les failles critiques

par Rana Belhajsalah | 27 Nov 2021 | Uncategorized

Microsoft a intégré un nouveau module à Exchange qui mettra en place automatiquement les mesures d’atténuation lorsqu’une nouvelle faille de sécurité est dévoilée. Ce nouveau composant se nomme « Microsoft Exchange Emergency Mitigation (EM) »

Les CU22 and CU11 pour Exchange 2016 et 2019 contiennent cette nouvelle fonctionnalité de sécurité supplémentaire :

L’idée n’est pas de vous protéger définitivement, mais temporairement, en attendant que vous ayez le temps d’installer le correctif de sécurité. Cela est valable aussi quand Microsoft n’a pas encore sorti le correctif, afin de vous protéger. Retenez que cela ne remplace pas les patchs de sécurité.
Cela installe un service Windows Exchange qui vérifie une fois par heure si une atténuation contre une vulnérabilité est disponible et l’installe le cas échéant,
Cette fonctionnalité est optionnelle et peut être désactivée
Seules les vulnérabilités jugées critiques auront une atténuation.

Le composant EM peut appliquer trois types d’atténuation :

Règle de réécriture d’URL dans IIS : Créer une règle pour bloquer les requêtes HTTP sur une URL spécifique
Gestion des services Exchange : Désactiver un service Exchange vulnérable
Gestion des pools d’applications : Désactiver un pool d’applications vulnérable

La mise en place de cette nouvelle fonctionnalité nécessite :

l’installation du module IIS URL Rewrite, qui s’ajoute désormais aux prérequis systèmes à l’installation/mise à jour d’Exchange.
Le serveur doit accéder à l’url https://officeclient.microsoft.com/getexchangemitigations
Si Windows Server 2012 R2 est utilisé pour Exchange 2016, il faut installer la KB2999226.

Lors de l’installation/upgrade, il y a un changement d’accord de licence selon si vous souhaitez partager des données de diagnostics avec Microsoft ou non: Le switch /IAcceptExchangeServerLicenseTerms a été remplacé par:

/IAcceptExchangeServerLicenseTerms_DiagnosticDataON
/IAcceptExchangeServerLicenseTerms_DiagnosticDataOFF

Vous pouvez activer/désactiver le partage de des données de diagnostics unitairement par serveur avec la commande :

Set-ExchangeServer -Identity <ServerName> -DataCollectionEnabled $false

Vous pouvez activer/désactiver la fonctionnalité EM au niveau de l’organisation, ou au niveau serveur.

Set-OrganizationConfig -MitigationsEnabled $false

Set-ExchangeServer -Identity <ServerName> -MitigationsEnabled $false

Après l’application d’un Security Update (SU), la mitigation associée est conservée, il faut retirer la mitigation manuellement

– Les activités des mitigations sont logés dans le journal des évènements des serveurs : (source MSExchange Mitigation Service) et dans le répertoire V15\Logging\MitigationService

MECM (SCCM) : Bonnes pratiques pour Windows 10 Servicing Upgrades (mises à jour des fonctionnalités)

par Seifeddine Zaier | 13 Nov 2021 | MECM, SCCM

Dans un projet de migration de Windows 10 vers une nouvelle version en utilisant les mises à jour de fonctionnalités de Microsoft Endpoint Configuration Manager, il y a quelques bonne pratiques à appliquer pour optimiser le process.

Ci-dessous 4 bonnes pratiques :

1. Définissez les paramètres ci-dessous sur la règle du plan de maintenance pour vous assurer de ne pas avoir de groupe de mise à jour logicielle vide après une synchronisation mensuelle des mises à jour SCCM, où les mises à jour des fonctionnalités sont remplacées (exemple de migration vers Windows 10 1909)

2. Augmentez la durée d’exécution maximale des mises à jour des fonctionnalités de Windows 10, de 120 minutes (valeur par défaut) à 600 minutes pour éviter la corruption de la migration (pour les appareils lents)

3. Définissez un plan de gestion de l’alimentation personnalisé sur les collections d’appareils cibles de migration pour désactiver le mode veille et l’arrêt du disque lorsque l’ordinateur n’est pas sur batterie

Assurez-vous que la gestion de l’alimentation est activée dans les paramètres du client

Sur une collection contenant tous les ordinateurs cibles pour la migration, définissez un plan personnalisé (ConfigMgr) pour les plans Peak et Non-Peak avec les modifications suivantes :

4. Modifiez les paramètres du client dans l’onglet des mises à jour logicielles comme suit :

Calendrier d’analyse des mises à jour logicielles > A lieu toutes les 12h (valeur par défaut : 24h)
Planifier la réévaluation du déploiement > A lieu toutes les 12h (valeur par défaut : 24h)
Dès que l’échéance d’un déploiement de mise à jour logicielle est atteinte, installer tous les autres déploiement de mise à jour logicielle avec une échéance pendant une période de temps spécifiée > Non (valeur par défaut : Oui)
Spécifier la priorité du thread pour les mises à jour des fonctionnalisés > Normal (valeur par défaut : Non configuré)

SCCM – SQL Query – ‘Last Enforcement State’ pour tout les déploiements/computers.

par Christophe Jourdan | 8 Nov 2021 | SCCM, Script, sql

La requete SQL ci-dessous liste l’état d’application (Enforcement) pour toutes les machines et les deploiements correspondant.

/*** SCCM - QUERY TO DISPLAY ALL COMPUTERS 'LAST ENFORCEMENT STATE' FOR ALL DEPLOYMENTS  ***/


DECLARE @StartDate DATETIME, @EndDate DATETIME
	
-- Since 12 months
SET @StartDate = DATEADD(mm, -12,GETDATE())
SET @EndDate = GETDATE() 


SELECT

vrs.Name0,

CASE vrs.Active0
	WHEN 0 THEN 'NO'
	WHEN 1 THEN 'YES'
	END AS Client_Active,

a.AssignmentName as DeploymentName,
a.StartTime as Deploy_Available,
a.EnforcementDeadline as Deploy_Deadline,
sn.StateName as LastEnforcementState,
wsus.LastErrorCode as 'LasErrorCode'


FROM v_CIAssignment a
JOIN v_AssignmentState_Combined assc on a.AssignmentID=assc.AssignmentID
JOIN v_StateNames sn on assc.StateType = sn.TopicType and sn.StateID=isnull(assc.StateID,0)
JOIN v_R_System vrs on vrs.ResourceID = assc.ResourceID
JOIN v_GS_WORKSTATION_STATUS wks on wks.ResourceID = assc.ResourceID
JOIN v_UpdateScanStatus wsus on wsus.ResourceID = assc.ResourceID


AND CreationTime BETWEEN @StartDate AND @EndDate -- IN A SPECIFIC TIME WINDOW FOR THE DEPLOYMENT CREATION TIME

ORDER BY Deploy_Available DESC

Toutes les astuces #tech des collaborateurs de PI Services.

Retrouvez les articles à la une

Nouveau module Exchange atténuant automatiquement les failles critiques

MECM (SCCM) : Bonnes pratiques pour Windows 10 Servicing Upgrades (mises à jour des fonctionnalités)

SCCM – SQL Query – ‘Last Enforcement State’ pour tout les déploiements/computers.

Derniers articles

SCOM : créer une découverte de registre pour la valeur Default

Outils Azure : récupérer le certificat du proxy transparent

Orchestrator : récupérer la liste des variables et leurs valeurs

SCOM – Zabbix – Management Pack pour l’agent Zabbix sur Windows

Sharepoint Online : Script de Restauration d’éléments dans la corbeille.

Catégories

Archives

Auteurs/Autrices