Windows-2012-2

Un petit billet d’humeur en cette fin d’année, billet qui s’annonce comme une prédiction de Nostradamus concernant, non pas le passage à l’AN 2000, mais le passage du 9 Février 2021.

Depuis déjà un petit moment, Microsoft  communique sur une faille existante que l’éditeur Secura a nommée ZeroLogon , une faille (CVE-2020-1472) dotée du score de criticité maximal sur l’échelle CVSS.

En résumé, c’est grave… C’est grave  et le problème est compliqué à traiter car il n’impacte pas que les serveurs ou PC exécutant Windows.

Si vous laissez une machine connectée à Internet avec le protocole RDP ouvert, vous pourrez constater que dans le journal d’évènement énormément de machines essaient de se connecter en utilisant divers comptes.

L’idée est de bloquer ces attaques de manière automatique.

On va donc créer un script PowerShell qui sera déclencha dès la détection d’attaque au travers des journaux d’évènements et puis modifiera une règle du firewall Windows afin de stopper l’attaque.

Lors des migration de plusieurs domaines vers un seul domaine à l’aide de l’outil ADMT, vous serez surement ammené a désactiver le filtrage SID afin de laisser passer l’History SID.

Le History SID vous aide à maintenir l’accès des utilisateurs aux ressources au cours du processus de restructuration des domaines Active Directory. Lorsque vous migrez un objet vers un autre domaine, l’objet reçoit un nouveau SID. Étant donné que vous affectez des autorisations à des objets basés sur SID, lorsque le SID change, l’utilisateur perd l’accès à cette ressource jusqu’à ce que vous pouvez réaffecter des autorisations. Lorsque vous migrez des utilisateurs vers le domaine cible, vous aurez la possibilité de migrer le SID des utilisateurs vers le domaine cible. Cela devient l’attribut sIDHistory sous le nouvel objet utilisateur.

Lors de vos sauvegardes de machines virtuelle vous pourrez être confronté des problèmes d’accès au CSV : cela se traduit par l’impossibilité d’accéder au CSV au travers de l’explorateur, et 2 événements système seront déclenchés:

ID d’événement : 5120

Cluster Shared Volume 'Volume3' ('Cluster Disk 4') is no longer accessible from this cluster node because of error 'ERROR_TIMEOUT(1460)

ID d’événement : 5142

 Cluster Shared Volume 'Volume1' ('name’) is no longer available on this node because of 'STATUS_IO_TIMEOUT(c00000b5)'.

Si tel est le cas il sera nécessaire d’applique le correctif suivant pour palier au problème: http://support.microsoft.com/kb/2799728/en-us

Attention !  Ne pas passer ce KB ! voici le commentaire de Elden Christensen Principal Program Manager Lead Windows Server Clustering Group

Thank you for the post, we are aware that the hotfix KB2750149 <http://support.microsoft.com/kb/2750149> which was just released yesterday 1/8/2013 is negatively impacting the Failover Cluster Manager snap-in.

We are actively investigating, and we will post more information as it becomes available.  The only known workaround at this time is to uninstall the hotfix.  We are recommending you do not deploy hotfix KB2750149 on Windows Server 2012 Failover Clusters until a solution is available.

We apologize for the inconvenience, more information to come.

Thanks!! Elden Christensen Principal Program Manager Lead Windows Server Clustering Group