Discussion :

[braoru]

Bonjour,

J’ai une question pour les connaisseurs en droit Windows et en DCOM. Mon poste est un peut long mais j’explique ma méthodologie et les tests que j’ai effectués.
Tout d’abord voici la situation, je regarde comment je pourrais récupérer à distance les évènements du journal d’évènements de Windows (2k3 pour le moment) pour les placer sur une station linux.

Pour le moment j’ai trouvé la solution snare + syslog qui fonctionne bien mais qui demande de toucher à la configuration du serveur de manière forte par l’introduction d’un logiciel tiers. Dans mes cours de sécurité et de gestion réseaux il est dit que ce n’est pas la meilleure des choses à faire quand on peut faire autrement.

En ce moment j’aimerais réussir à tester la voie DCOM/RPC que se soit à partir de samba-tng ou de j-interop en java.
J’ai donc créé un utilisateur sur mon domaine 2003 de tests (testDcom).

Tout d’abord j’ai vérifié ma solution de manière brut en plaçant testDcom dans le groupe Administrateurs. Avec cette configuration je peut me connecté avec DCOM/RPC faire une requête WQL(J-interop) ou utiliser la commande eventlog security avec samba-tng.

Retours sur mes cours de sécurité ou avoirs des droits admin quand ce n’est pas absolument nécessaire n’est pas une bonne solution. (Si la machine linux est compromise il y a un compte admin disponible..).

Maintenant je me dis que si l’admin peut le faire et pas un utilisateur nouvellement créer c’est une question de droits et d’autorisations.

Dans les domain security Policy j’ai trouvé la Policy Local Policies -> User Right Assignment->Manage auditing and security log. Comme mon utilisateur doit pouvoir utilisé les security logs et les windowsEvent (j’imagine que à par pour ceux de sécurité cette gpo ne les affecte pas), j’ajoute mon utilisateur la dedans.

Ça ne fonctionne pas . A ce moment la, je pense que le problème doit venir du fait que testDcom ne peut pas ce connecter en Dcom.

Local Policies Security Options -> DCOM : machine Access ….. et DCOM : Machine launch …. J’ajoute mon utilisateur avec les droit : local access local, lauch local, access remote, lauch remote.

Ça ne fonctionne toujours pas.

Je vais voir du coté des services DCOM dans Component Services. Comme je part du principe que je pourrai toujours affiner après, je sélectionne My Computer -> Com Security et j’édite les default pour Access et lauch ou j’ajoute mon utilisateur avec les droit en local et remote.

Ça ne fonctionne toujours pas.

Sur internet j’ai lu qu’un utilisateur qui veut avoir accès par DCOM aux journaux à besoins de faire partie de certains groupe.
Distributed COM User (en fait se sont les droit dans DCOM : Machne access et launch), Performance log Users (pas trouvé ce que ca modifie), performance Monitor user (pas trouver), backup Operator (Allow log localy, Backup files and directory, Restore file and directory, sut down the system)

Malgré ces groupes, ça ne fonctionne pas.

J’ai aussi ajouté mon utilisateur aux GPOs debug program (un test) et Profile système performence (un test).

Ca ne fonctionne toujours pas.

Maintenant je pense que le problème peut venir des DCOM eux même. Ou plutôt de l’option qui est disponible dans Component Services-> DCOM config-> un élément -> onglet identity. Dans cette élément, je pense que il faut en configurer certains avec : the interactive user (pour pas qu’il ce lance en admin j’imagine).

Dans le log d’évènements mes connections ratées mon donné un numéro de CLSID. Si je vais sur ce CLSID dans les config dcom et que je place identity en interactive, ça fonctionne. Le problème, cet élément est dynamique et pas disponible dans tous les autres contrôleurs et n’apparais qu’une fois un essaie de connexion réalisé.

Avez-vous une idée de ce que j’ai fait de faux dans ma configuration et comment je pourrais faire pour permettre à mon utilisateur testDcom d’avoirs accès au eventlog à distance sans devoir modifier de CLSID ?

J’ai entendu dire que certaines solutions pro permettent de réaliser cela sans toucher à ces CLSID. Par contre, j’imagine bien que si je leurs envoie simplement un email de questions, ils ne me répondront pas.

Mercis d’avance pour l’aide.

B

Edit : je vais faire des updates du message pour l'orthographe (je suis bien conscient de mes problèmes dans le domaine)

[ram-0000]

Pour le moment j’ai trouvé la solution snare + syslog qui fonctionne bien mais qui demande de toucher à la configuration du serveur de manière forte par l’introduction d’un logiciel tiers. Dans mes cours de sécurité et de gestion réseaux il est dit que ce n’est pas la meilleure des choses à faire quand on peut faire autrement.

Tout d’abord j’ai vérifié ma solution de manière brut en plaçant testDcom dans le groupe Administrateurs. Avec cette configuration je peut me connecté avec DCOM/RPC faire une requête WQL(J-interop) ou utiliser la commande eventlog security avec samba-tng.

Retours sur mes cours de sécurité ou avoirs des droits admin quand ce n’est pas absolument nécessaire n’est pas une bonne solution. (Si la machine linux est compromise il y a un compte admin disponible..).

C'est toujours l'éternel problème :

• Faire du push local, c'est introduire un bout de logiciel sur la machine en local avec tous les risques que cela comporte : crash (mais il y en a de moins en moins maintenant ou du moins leur impact est plus limité, c'est le process qui plante et c'est tout), malware (on ne connait pas toujours le code du binaire que l'on installe).
  
• Faire du pop distant, c'est donner un couple login/password (ou équivalent) au distant (cela peut poser un problème si il y a une politique de changement de mot de passe rigoureuse et l'expérience montre que ces mots de passe ne sont JAMAIS changés).

Personnellement, j'ai développé WinAgentLog (équivalent à snare que tu cites) et j'ai choisi le mode "Agent local qui fait du push"

Désolé de mon intervention mais je n'ai pas de solution sur ton problème DCOM

[braoru]

C'est toujours l'éternel problème :

• Faire du push local, c'est introduire un bout de logiciel sur la machine en local avec tous les risques que cela comporte : crash (mais il y en a de moins en moins maintenant ou du moins leur impact est plus limité, c'est le process qui plante et c'est tout), malware (on ne connait pas toujours le code du binaire que l'on installe).
  
• Faire du pop distant, c'est donner un couple login/password (ou équivalent) au distant (cela peut poser un problème si il y a une politique de changement de mot de passe rigoureuse et l'expérience montre que ces mots de passe ne sont JAMAIS changés).

Désolé de mon intervention mais je n'ai pas de solution sur ton problème DCOM

Oui, d'où mon idée de limité les droit pour au moins, ne pas donner des droits admin au distant

Je continue de chercher la solutions. Dans l'onglet security des config de My computer dans Component Services j'ai des cases "Edit Limits" qui ne sont pas utilisables. Je regarde comment aller éditer (si c'est utile) ces options.