Forum du club des d�veloppeurs et IT Pro - Blogs - benjamin.f

Blocage de la console de gestion RDS suite suppression de serveur dans la ferme

benjamin.f — Wed, 19 Aug 2020 15:57:25 GMT

Bonjour,

Un petit billet rapide afin de regrouper des informations qui m'ont �t� utiles r�cemment et qui peuvent l'�tre � d'autres concernant RDS sur Windows Server 2012 R2.

Je vous passe l'histoire, mais suite au mauvais d�commissionnement d'un serveur RDS inclus dans une ferme j'ai perdu la connexion � la console de gestion sur mon broker.

Le message est :

Les serveurs suivants de d�ploiement ne figure pas dans le pool de serveurs
1. [FQDN du serveur]
.Ajoutez les au pool de serveurs

Bref, si vous souhaitez supprimer un serveur RDS inclus dans une ferme RDS, faites le bien!
Supprimez le r�le avant ou utilisez Powershell tel que pr�sent� ci-apr�s;

Donc, les premiers articles sur lesquels je suis tomb� renvoyaient sur la m�thode Microsoft, via "POWERSHELL" suivante;
https://support.microsoft.com/fr-fr/...ou-remove-a-se

Pour faire simple, ont liste les serveur RDS de la ferme avec la commande
Code : S�lectionner tout - Visualiser dans une fen�tre � part
get-RDServer
Puis on supprime le serveur souhait� avec la commande
Code : S�lectionner tout - Visualiser dans une fen�tre � part
Remove-RDServer -Server nom-fqdb-du-serveur -Role  -Force
Sauf que que ... si vous avez supprim� la VM du serveur et que celui-ci n'est pas joignable, vous n'obtiendrez qu'une autre erreur de la part de Powershell...
Bref, � ce stade je n'ai toujours pas avanc� ...

Si l'histoire n'�tait pas plus compliqu�e, une simple restauration de la VM aurait permis de retrouver la main et de faire la suppression dans l'ordre.:calim2:

Mais ce n'est pas le cas... Je me retrouve � essayer de scier la branche sur laquelle je suis assis ... alors qu'elle est d�j� coup�e

C'est l� qu'une autre solution m'est apparue des ab�mes de mes recherches ( en d�passant les 5 premi�res pages quoi ..) via mon moteur de recherche favoris en US (celui que nous utilisons quasiment tous pour les soucis techniques, sinon j'utilise https://www.lilo.org/ qui est bas� dessus mais FR et plein de bonnes actions )

La solution : Supprimer directement le ou les serveurs dans la base SQL windows embarqu�e utilis�e par le Broker.

Pour se connecter au moteur SQL embarqu� rien de plus simple:

T�l�charger et installer SQL Server Management Studio express (par exemple ici https://www.microsoft.com/fr-fr/down...s.aspx?id=8961) sur le serveur broker.
Attention - il faudra utiliser la session d'administrateur local !

C'est le dernier moment ou l'ont peut encore penser � r�aliser un snapshot du serveur avant d'y faire une potentielle b�tise :aie:

Se connecter au serveur avec la ligne suivante;
Code : S�lectionner tout - Visualiser dans une fen�tre � part
\\.\pipe\MICROSOFT\##WID\tsql\query
Ce qui donne :

Se connecter sur la base RDCms et faire clic droit pour lancer une requ�te de recherche du top 1000 pour la table RDCms.RDS.Server, afin de r�cup�rer la liste des serveurs du pool et leurs ID.

Je met le code directement si besoin :
Code : S�lectionner tout - Visualiser dans une fen�tre � part
1
2
3
4
5
6
/****** Script de la commande SelectTopNRows � partir de SSMS  ******/
SELECT TOP (1000) [Id]
      ,[Name]
      ,[OsVersion]
      ,[ClusterName]
  FROM [RDCms].[rds].[Server]
Reste � supprimer le ou les r�calcitrants avec la commande ci-apr�s en renseignant l'ID correspondant au serveur r�cup�r� dans le tableau affich� par la commande pr�c�dente;
Code : S�lectionner tout - Visualiser dans une fen�tre � part
delete from rds.Server where ID = �[IDduServerAsupp]�;
ET voila ! ou pas ...

En effet, le serveur peut avoir des r�f�rences qui emp�che la suppression.
Pas de panique! Il suffit de refaire la m�me chose sur la table de r�f�rence indiqu�e dans le message d'erreur et de la supprimer avant le serveur.

Dans mon cas, cela se trouvait dans la table RoleRdsh.
vous trouverez ci-apr�s les lignes utilis�es pour trouver et supprimer la r�f�rence qui m�emp�chait de supprimer le serveur de la table "RDS.Server";
Code : S�lectionner tout - Visualiser dans une fen�tre � part
1
2
3
4
5
6
7
8
9
/****** Script de la commande SelectTopNRows � partir de SSMS  ******/
SELECT TOP (10) [Id]
      ,[RdcbConfigId]
      ,[PoolId]
  FROM [RDCms].[rds].[RoleRdsh]

/******  Suppression des lignes null pour les serveurs � supprimer *****/
  delete from rds.RoleRdsh where ServerId=[IDduServerAsupp]
! Attention ce n'est pas le m�me ID et pas la m�me table !

Vous pouvez recommencer la premi�re man�uvre, la r�f�rence ne doit plus emp�cher la suppression du serveur inexistant.
Mais surtout, l'acc�s � la console de gestion RDS sur le broker est revenue !:king:

Whitelist FSRM contre les ransomwares sur vos serveurs de fichiers Windows

benjamin.f — Fri, 05 May 2017 12:30:08 GMT

Bonjour,

Suite � la nouvelle vague d'e-mails malveillant contenant une variante de Locky, je me d�cide � sortir un petit billet sur une mesure de pr�vention simple trouv�e sur le net, mais � mon avis insuffisamment bien exploit�e.

Intro
Loin d'�tre LA solution, puisque cela ne prot�ge que partiellement les fichiers expos�s � certaines souches de ransomwares ; ceux qui modifient les extensions des fichiers qu'ils cryptent.

Le r�el avantage, c�est que la mise en �uvre peut se faire en transparence sur vos serveurs de fichiers Windows.
Vous ne vous heurterez donc pas aux utilisateurs r�calcitrants.
N�anmoins, cela n�emp�che pas d�informer et de continuer la sensibilisation.

:arrow: Avant de commencer, assurez-vous d'avoir des serveurs de fichiers correctement g�r�s via la m�thode AGDLP de Microsoft (voir ici).

L'Id�e
Il existe bon nombre de tutos sur internet permettant d'�viter l'enregistrement des extensions de ransomwares connus, sur vos serveurs, via FSRM.

Le probl�me est que les souches permettent de cr�er des centaines de variantes, et qu'il est juste impossible de tenir correctement � jour cette liste, ne sachant par quelle extension nous allons �tre mang�s.

Sur le principe du moindre privil�ge, il est pr�f�rable de fonctionner par "white liste".

La pratique
Assurez-vous d'avoir le service de r�le FSRM d'install�, sinon installez le.

Pour mettre en oeuvre la solution, il faut interdire toutes les extensions (*.*), sauf celles permises au sein de votre SI.

Pour r�cup�rer les extensions � mettre en whitelist, vous pouvez utiliser un script permettant de faire l�inventaire des extensions pr�sentent sur votre serveur de fichiers, et ainsi g�n�rer un" groupe de fichiers" directement dans FSRM:
Code : S�lectionner tout - Visualiser dans une fen�tre � part
1
2
3
4
5
6
7
$l=@()
$i = gci -Recurse -File -Force -Path $Path -ErrorAction SilentlyContinue | ?{($_.Attributes -notmatch "Hidden") -and ($_.Extension -like "*.*")}
foreach ($o in $i) {
    if ($l -notcontains ($e=('*'+ $o.Extension +'*'))) {$l += $e}
    }   
}
:!: cela peut prendre du temps, cela d�pend des donn�es pr�sentes sur votre serveur de fichiers.

:arrow: Pour plus de s�curit� vous pouvez faire cela sur une VM isol�e, cela permettra de faire au passage une restauration compl�te de votre sauvegarde, et ainsi valider son int�grit�.

Si vous redirigez le dossier "mes documents" de vos utilisateurs, vous ne devriez normalement pas avoir acc�s � leurs donn�es personnelles.

Pour r�cup�rer les extensions vous pouvez toujours essayer d'utiliser une restauration de sauvegarde et bidouiller les droits...

:!:Le plus simple reste � rappeler � vos utilisateurs que ces fichiers ne font pas partit de la politique de sauvegarde, et que les dossiers professionnels doivent �tre enregistr�s dans les partages pr�vus � cet usage.

La commande suivante cr�era un nouveau groupe de fichiers bloquant tous les fichiers � l'exception des extensions d�j� pr�sentent sur votre serveur:
Code : S�lectionner tout - Visualiser dans une fen�tre � part
New-fsrmFileGroup -Name RansomWare -IncludePattern "*" -ExcludePattern $l
La derni�re commande servira � cr�er le nouveau filtre de fichiers avec notre whitelist.

Je vous conseil dans un premier temps de faire un filtre passif, afin de vous assurer que tout est en ordre.
Ensuite, une fois la p�riode de validation que vous aurez d�finie pass�e, vous pourrez passer en actif.

C'est toujours possible en commande PS:
Code : S�lectionner tout - Visualiser dans une fen�tre � part
1
2
#Supprimez l'option -Active pour rester en mode passif
New-FsrmFileScreen -Path $Path -IncludeGroup $Name -Active
Le script complet :fleche: Create-FsrmWhiteList.zip

Conclusion
Comme je l'ai rappel� en introduction, cela ne repr�sente qu'un petit maillon d'une protection, mais il est facile de mettre cette solution en place.
Et puis comme le dit le proverbe :
"une cha�ne n'est pas plus forte que sont maillon le plus faible"

L'important dans ce billet, c'est aussi de voir plus loin que le fait d'utiliser FSRM.
Il faut int�grer l'id�e de g�rer exclusivement ce dont nous avons vraiment besoin, et d'exclure le reste.

Sur une nouvelle impl�mentation par exemple; Il est important de d�finir les types de fichiers qui seront pris en compte par le besoin, et int�grer votre filtre "by design", � la mise en place du serveur.

Le principe du "least privil�ge" ne ce r�duit pas aux serveurs de fichiers, mais devrais s'appliquer � l'ensemble du SI (dans la mesure du possible), afin d'en am�liorer la s�curit�.

:arrow: Je rappelle aussi que le meilleur moyen de se prot�ger est de sensibiliser les utilisateurs, et en cas de catastrophe d'avoir des sauvegardes r�centes.

Si vous avez des remarques ou des am�liorations � porter � cet article (ou au script), vous pouvez en faire part en commentaire ou par message priv�.
En vous remerciant d'avoir pris le temps de me lire.

Benjamin.F

Gestion simple des droits pour un serveur de fichiers dans un domaine Active Directory

benjamin.f — Fri, 06 Feb 2015 12:39:32 GMT

Dans ce tout premier billet, je vais vous pr�senter une fa�on de g�rer de mani�re simple un serveur de fichiers dans un domaine Active Directory.

Je ne me pencherai pas sur les notions approfondies, vous pourrez n�anmoins faire des recherches par vous m�me sur certains termes.

Cette m�thode est particuli�rement adapt�e au petite � moyenne entreprise et permet une gestion efficace de l�administrateur, sans forcement avoir de notions avanc�es en Active Directory.

Introduction

:!: Pour rappel: L'acc�s aux ressources est critique. Il doit �tre accompagn� d'une gestion rigoureuse et d'un plan de sauvegarde.
De mani�re g�n�ral, les droits NTFS, mieux vaut �viter d'y toucher une fois en place.

M�me dans les petites entreprises, cela peut devenir tr�s vite complexe par la multiplication des droits donn�s � diff�rents utilisateurs sur un m�me dossier.
Encore plus quand il faut donner des droits diff�rents � ces m�me utilisateurs dans les sous-dossiers.

Les besoins de base envers un dossier sont eux assez simples:

Y faire ce que l'on veut :fleche: Lire, modifier, ajouter, et supprimer des fichiers.
Lire les fichiers d'un dossier, sans pouvoir les modifier
(rien n�emp�che de copier le fichier sur le bureau pour le modifier en local, mais celui-ci ne pourra pas remplacer le fichier existant dans le dossier racine.)
Ne pas y avoir acc�s.

La m�thode que je vais vous pr�senter se base sur les points suivants :

Pas de sous-partage.
Pas de gestion des droits dans les sous-dossiers.
Touts les dossiers sont g�r�s sur la racine du partage.
Un groupe de Domaine Locale avec des droits en lecture sur le dossier racine.
Un groupe de Domaine Locale avec des droits en �criture sur le dossier racine.
Activer ABE.

Ainsi, une fois en place, il n'y aura plus � toucher au droits d�finis sur les dossiers cr��s.
Si un utilisateur ou un groupe d�fini d'utilisateurs doit avoir un acc�s � un dossier, il n'y aura qu'a le mettre dans le groupe ad�quate depuis Active directory.
Les utilisateurs ne verront que les dossiers racine auxquels ils au minimum un droit de lecture.

La m�thode dans la pratique

�nonc� de l'exercice

2 utilisateurs, "user1" et "user2" auront acc�s � un partage "TEST" sur lequel se trouvera les dossiers racines.
Le partage sera effectu� sur un serveur de fichier Windows 2012r2 appel� SRV-FIC2.

User1 pourra lire et �crire dans le dossier "Dossier1" et lire les fichiers du dossier "Dossier2".
User2 pourra lire et �crire dans le dossier "Dossier2" mais n'aura aucun droits sur le dossier "Dossier1".
Pour une meilleur lisibilit�, nous utiliseront ABE pour que user2 ne voit que le dossier sur lequel il a des droits.

Les groupes

Chaque groupe portera le m�me nom que le dossier pour l'identifier facilement, plus une lettre qui nous indiquera si il s'agit du groupe de lecture ou du groupe d'�criture.

Dans AD, j'utilise une nouvelle O.U appel�e Groupes_GDL pour Groupes de Domaine Locale.
On cr�er dedans les groupes Dossier1_R, Dossier1_W, Dossier2_R, et Dossier2_W.

Pour suivre la m�thode AGDLP, ces groupes seront des groupes de Domaine Locale.

:!:Vous pourrez par la suite cr��er des groupe globaux qui r�uniront les utilisateurs d'un m�me service.
Par exemple Commerciaux, direction, RH, secr�taires,...
Ensuite il faudra mettre les groupes globaux des services dans les groupes de domaine Locale auxquels ils ont des droits.

Pour les besoins de l'exercice, on va mettre directement les utilisateurs dans les groupes de domaine local.

Donc selon l��nonc�:
:fleche: L'utilisateur User1 qui a des droit en �criture sur dossier 1 et en lecture sur dossier2 ira dans les groupes Dossier1_W et dossier2_R
:fleche: L'utilisateur User2, qui a des droits en �criture sur le dossier2 mais aucun droit sur dossier 1 n'ira que dans le groupe dossier2_W.

Le partage

Sur le serveur de fichier, attachez un nouveau disque NTFS nomm� DATA.
Sur le disque DATA, cr�er un nouveau dossier "TEST".
Utilisez le mode de partage avanc� pour donner des droits de partage en contr�le total au groupe "tout le monde".

Nous allons g�rer les droits via NTFS:

Allez dans les propri�t�s/onglet s�curit�/bouton avanc�.
D�sactivez l'h�ritage, et supprimez toutes les autorisations h�rit�es de l'objet.
Ajoutez admins du domaine en contr�le total (CT).
Ajoutez utilisateurs du domaine que vous laissez en lecture (valeur par d�faut )

Les dossiers

Une fois le partage effectu�, on va pouvoir cr�er les dossiers g�r�s, aux-quels on d�finira les droits d'acc�s via NTFS.

On cr�er les dossiers "dossier1" et "dossier2".

La premi�re chose est de d�sactiver l'h�ritage.
Donc clic droit sur le dossier/propri�t�s/avancer/modifier les autorisations, et on d�sactive l'h�ritage.

:!: Soit on r�injecte les droits d�j� pr�sent, soit on part sur une base vierge.
Cela ne changera pas grand chose ici.

On supprime les autorisations h�rit�es (pour cet exemple, on va repartir sur une base vierge).
On ajoute le groupe "admins du domaine" en contr�le total.
On ajoute le groupe "Dossier1_R", et on lui laisse ces droits de base en "Default value".
On ajoute Dossier1_W auquel on rajoute "modification" aux droits de base, le droit �criture va se mettre automatiquement.

Pour �viter toute catastrophe, on va maintenant rajouter un refus pour le groupe en �criture
Dans les autorisations avanc�es, on rajoute le groupe "Dossier1_W".

On sp�cifie un "REFUS" sur "ce dossier seulement" pour l'attribut "suppression".

:!: Attention, bien sp�cifier "Ce dossier seulement" car les refus l'emporte toujours sur les autorisations.

Pour v�rification, vous devez vous retrouver avec ces droits :

On fait maintenant la m�me chose pour le dossier "Dossier2", en lui configurant ses groupes de la m�me fa�on.

On r�capitule

On doit donc avoir:

2 utilisateurs : User1 et User2
4 groupes de domaine Locale : Dossier1_R, Dossier1_W, Dossier2_r, et Dossier2_W
User1 est dans Dossier1_W et Dossier2_R
User2 est dans Dossier2_W
un dossier TEST partag� en "CT" pour le groupe "tout le monde" avec des droits NTFS de base en lecture pour les utilisateurs du domaine.
Les dossiers racine "Dossier1" et "Dossier2" sur lesquels ont d�fini les droits sur les groupes respectifs

Connexions de test

On se connecte en User1, on doit pouvoir:

Lire et �crire dans le dossier Dossier1
Lire ce qu'il y a dans le dossier Dossier2

En se connectant en User2, on ne peut que lire et ecrire dans le dossier "Dossier2"

ABE

Il faut aller sur le serveur de fichier pour activer Access Based Enumeration.

Connectez vous dans le gestionnaire de serveur, et allez dans le menu de gauche "Services de fichiers et de stockage".

Ensuite allez dans "Partages".
Vous y trouverez la liste de tous les partages r�f�renc�s sur le serveur.
S�lectionnez le partage "TEST", et allez dans les propri�t�s puis "param�tres".

Maintenant, les utilisateurs ne verront plus que les dossiers auxquels ils ont le droit.

Recherches associ�es

Pour commencer � aller plus loin, vous pouvez faire des recherches concernant les termes suivants:

Droits NTFS
Active directory
AGDLP
ABE (Access-based Enumeration)

Conclusion

C'est la m�thode que j'utilise actuellement en 3 partages mont�s en lecteurs r�seaux.
L'effort d'administration est faible, ce qui me permet de traiter les demandes d'acc�s rapidement avec un faible risque d'erreur.

A vous de me dire si cette m�thode vous convient autant qu'� moi 8-).