microsoft_SCT

L’outil policy analyzer est puissant, mais pas très pratique si nous voulons comparer une baseline à une politique de sécurité locale. En effet, c’est un scan host-based, cela veut dire qu’il faut être sur la machine pour utiliser l’outil. Dans cette partie, nous allons développer une méthode permettant à un administrateur de ne pas avoir à se déplacer sur chaque machine. Nous allons contrer le point faible des outils host-based.

Il faut savoir que l’outil Policy Analyzer n’est pas manipulable en ligne de commande, nous ne pouvons donc pas automatiser son utilisation.

  • Nous allons récupérer la politique local sous forme de GPO sur chaque PC grâce à un script puis nous allons toutes les exporter pour que l’administrateur du domaine puisse les récupérer sur sa machine et les importer dans Policy Analyzer.
  • Pour ce qui est de transformer la politique de sécurité locale en GPO, nous utilisons l’outil LGPO comme expliqué dans la partie précedante.
  • Pour exporter la GPO résultante, nous utilisons un dossier partagé par soucis de simplicité. Le point négatif de cette méthode semble être que les utilisateurs du domaine auront tous accès aux GPOs des autres utilisateurs, mais ils ne pourront rien en faire, ce qui limite le problème.

Création du dossier partagé

  • Commencer par créer un dossier partagé.
  • Pour cela, cliquer droit à l’emplacement où l’on veut mettre ce dossier (1).
  • Cliquer sur “Nouveau” (2).
  • Choisir “Dossier” (3).

DM6

  • Donner le nom voulu au dossier.

DM6

  • Cliquer droit sur le dossier (1).
  • Cliquer sur “Propriétés” (2).

DM6

  • Cliquer sur “Partage” (1).
  • Cliquer sur “Partager…” (2).

DM6

Nous allons désormais ajouter les users qui auront accès à ce dossier.

  • Ajouter le nom de l’utilisateur (1).
  • Cliquer sur “Ajouter” (2).
  • Renouveler la manipulation avec tous les utilisateurs du parc pour qui l’on veut automatiser l’analyse des politiques locales.

DM6

  • Cliquer sur “Lecture” (1).
  • Choisir “Lecture/écriture” (2).
    Il faut que les utilisateurs aient les droits d’écriture pour que le script puisse ajouter la GPO dedans.

DM6

  • Cliquer sur “Partager”.

DM6

  • Cliquer sur “Terminé”.

DM6

Nous aurons accès au dossier via ce chemin.

  • Cliquer sur “Fermer”.

DM6

Sur une autre machine, ici PC01, nous retrouvons le dossier grâce au chemin d’accès.

DM6

Partage de l’exécutable LGPO

  • Nous répétons exactement la même manipulation, mais avec le dossier contenant LGPO.exe afin que le script puisse exécuter le fichier.

DM6

Nous pouvons voir que sur PC01, nous pouvons exécuter LGPO.exe.

DM6

Script

  • Nous utilisant le script qui suit, nous allons exporter la politique de sécurité locale, lui donner le nom : “NomDeLaMachine - Local Policy”, et la placer dans le dossier partagé.
# Get the computer name.
$ComputerName = $env:ComputerName

# Concatenate the computer name with " - Local Policy"
$PolicyName = -join($ComputerName, " - Local Policy")

# Call LGPO.exe with /b argument.
# Store the GPO on the shared directory.
# Call LGPO.exe with /n argument permitting to attribute the formated string as policy name.
\\DC01\Users\Administrateur\Documents\LGPO\LGPO_30\LGPO.exe /b \\DC01\Users\Administrateur\Documents\LANPolicies /n $PolicyName

Déploiement du script

Pour déployer ce script, qui doit tourner sur chaque machine (du fait du caractère host-based) de Policy Analyzer, nous allons utiliser une GPO.

  • Dans un premier temps, nous allons devoir partager le script qui va être éxécuté dans un dossier partagé afin que les machines du parc y aient, elles aussi, accès.
    • Nous choisissons de le mettre dans le dossier où se trouve l’exécutable de LGPO.

DM6

Le script est désormais partagé.

DM6

  • Ouvrir le logiciel “Gestion de stratégie de groupe”.
  • Cliquer droit sur l’OU contenant toutes les machines du parc, ici “Paris”.
  • Cliquer “Créer un objet GPO dans ce domaine, et le lier ici…”.

DM6

  • Nommer la GPO (1).
  • Cliquer sur “OK” (2).

DM6

  • Cliquer droit sur la GPO (1).
  • Cliquer sur “Modifier…” (2).

DM6

  • Dérouler les onglets jusqu’à “Scripts” de la partie “Configuration utilisateur” (1).
  • Cliquer sur “Ouverture de session” (2).

DM6

  • Cliquer sur “Scripts PowerShell” (1).
  • Cliquer sur “Ajouter…” (2).

DM6

  • Cliquer “Parcourir…”.

DM6

  • Aller au chemin d’accès de notre script partagé (1).
  • Sélectionner le script (2).
  • Cliquer sur “Ouvrir” (3).

DM6

  • Cliquer “OK”.

DM6

  • Cliquer sur le menu déroulant (1).
  • Cliquer sur “Exécuter les scripts Windows PowerShell en premier” (2).
  • Cliquer sur “Appliquer” (3).
  • Cliquer sur “OK” (4).

DM6

Lorsque nous cliquons sur notre GPO et que nous regardons ses paramètres, nous pouvons voir le chemin d’accès.

DM6

Autorisation du script

Nous arrivons ici sur une des limitations des scans dit “host based”.
Notre politique de sécurité interdit aux utilisateurs d’éxécuter des scripts sur leurs machines.
Une GPO ayant pour but d’exécuter un script sur la machine utilisateur ne va donc pas fonctionner.
Il nous faut donc autoriser l’éxécution de ces scripts.
Rendez-vous dans “Gestion de stratégie de groupe” pour créer une nouvelle stratégie de groupe.

  • Cliquer droit sur “Objets de stratégie de groupe” (1).
  • Cliquer sur “Nouveau” (2).

DM6

  • Entrer le nom de la stratégie (1).
  • Cliquer sur “OK” (2).

DM6

  • Cliquer droit sur la stratégie crée (1).
  • Cliquer sur “Modifier…” (2).

DM6

  • Dans “configuration utilisateur” (1), “stratégies” (2), “Modèles d’administration : définitions de stratégies (fichiers ADMX)” (3), “Composants Windows” (4), scroller (5).

DM6

  • Trouver “Windows PowerShell” et cliquer dessus (1).
  • Cliquer sur “Activer l’exécution des scripts” (2).

DM6

  • Sélectionner “Activé” (1).
  • Choisir “Autoriser uniquement les scripts signés” (2).
  • Cliquer sur “Appliquer” (3).
  • Cliquer sur “OK” (4).

DM6

Nous pouvons voir notre stratégie de groupe.

DM6

Nous allons pouvoir la lier.

  • Cliquer droit sur l’OU contenant notre machine user (1).
  • Cliquer sur “Lier un objet de stratégie de groupe existant…” (2).

DM6

  • Choisir notre GPO (1).
  • Cliquer sur “OK” (2).

DM6

Notre GPO apparait dans l’OU.

DM6

  • Sur une machine du parc faire la commande gpupdate /force.
  • Fermer et réouvrir la session utilisateur.

Nous le faisons avec le compte utilisateur de PC01.

DM6

Lorsque nous revenons dans DC01, nous voyons que la politique locale de sécurité de PC01 a bien été importée.

DM6

C’est, en effet, bien celle de PC01.

DM6

Exploitation des GPO exportés

Une fois que les GPO sont toutes exportés vers le domain controller, alors celui-ci peut importer toutes les GPOs des machines du parc dans Policy Analyzer.

DM6

Inopinément, comme dit dans la partie LGPO, le logiciel nous exporte une politique de sécurité local vide, ce qui n’est pas normal.

  • Dans un cas ou LGPO fonctionne correctement, nous nous attendons à avoir ici le même récapitulatif ici que lorsque sur PC01 nous cliquons sur “Compare to Effective State”.

DM6