pascals.blog : Administration

Server Core : comment supprimer les restrictions sur les mots de passe

pascals — Mon, 22 Dec 2008 17:49:23 GMT

Qui n’a pas utilisé P@ssw0rd comme mot de passe administrateur lorsqu’obligé par la règle de complexité des mots de passe ? Suggérer ou imposer des règles sur les mots de passe est une bonne chose, en production. Sur des plate-formes de démonstration ou de test, on peut préférer que le mot de passe que l’on va taper des dizaines de fois par jour soit simple, voire très simple. Sous Windows Server 2003 et Windows Server 2008 en mode normal, il suffit de modifier la stratégie locale de sécurité en lançant secpol.msc. Sur Windows Server 2008 en mode Core, c’est une autre histoire : pas de mmc.exe, pas d’option utile dans la commande NET ACCOUNTS, bref, pas de moyen direct pour modifier ce paramètre.

La solution consiste à utiliser un modèle de sécurité (security template) et de l’appliquer avec secedit.exe. Le modèle de sécurité est un fichier .inf et voici celui qui convient à notre objectif :

[Unicode] Unicode=yes [System Access] MinimumPasswordAge=0 ;MaximumPasswordAge=42 MinimumPasswordLength=0 PasswordComplexity=0 PasswordHistorySize=0 ClearTextPassword=0 [Version] signature="$CHICAGO$" Revision=1

Le paramètre qui nous intéresse ici est PasswordComplexity=0. Les autres sont ici uniquement pour exemple.

Pour appliquer ce modèle, créez un réperoire, par exemple c:\temp. Sauvegardez le modèle dans un fichier inf, par exemple c:\temp\demo.inf (Note : notepad.exe fonctionne dans Windows Server Core --pas vraiment “Core”, hmm ?). Ensuite, appliquez le modèle :

C:\temp>secedit /configure /db demo.sdb /cfg demo.inf

La solution modèle de sécurité est la seule que j’ai trouvée pour la complexité des mots de passe. Pour ce qui est des autres paramètres à “débloquer”, NET ACCOUNTS peut être utile. Par exemple, la commande suivante débloque l’expiration des mots de passe, ce qui est utile car l’option MaximumPasswordAge=0 n’est pas possible dans un modèle de sécurité :

net accounts /MAXPWAGE:UNLIMITED

Utilisez la commande net accounts /? pour d’autres options.

Et rappelez-vous : ce n’est pas une bonne idée de baisser le niveau de sécurité en production ! Cet article ne concerne que des environnements de test !

Prise en main d'Hyper-V : 4 - Configurer l'administration à distance

pascals — Mon, 21 Apr 2008 23:54:18 GMT

Nous avons vu dans les articles précédents de quoi mettre en place la base de la configuration de test d'Hyper-V :

Aujourd'hui nous allons voir une fonctionnalité importante, l'administration à distance (depuis un poste Vista SP1).

Hyper-V Manager MMC est disponible depuis le 25 mars : x86, x64. Il s'agit de la console d'administration d'Hyper-V (virtmgmt.msc), accompagnée de vmconnect.exe qui est le programme d'accès à la console des machines virtuelles, l'équivalent de vmrc.exe de Virtual Server. Elle s'installe sur Windows Vista SP1, dans le répertoire C:\Program Files\Hyper-V. Ce dernier n'est pas ajouté dans le PATH : en fonction de votre usage, il faudra faire le nécessaire.

La console est la même que celle que l'on trouve sur le serveur Hyper-V lui-même. Il faut simplement spécifier le serveur sur lequel on se connecte. Quant à vmconnect.exe, on peut directement l'utiliser ce cette façon :

C:\Program Files\Hyper-V\vmconnect.exe <serveur> <machine virtuelle>

Génial n'est-ce pas ? Attendez, cela se gâte... Sauf si votre serveur et votre client sont dans un domaine (tout marche mieux dans un domaine). Si l'une des machines ou les deux sont en "workgroup", alors la console vous donnera quasiment à coup sûr le message d'erreur :

You do not have the requested permission to complete this task. Contact the administrator of the authorization policy for the computer 'COMPUTERNAME'.

Si c'est le cas, accrochez-vous, tout n'est pas perdu, mais il va falloir suivre les instructions à la lettre. Cela se trouve ici, dans 5 articles de John Howard :

1ère partie - configuration du serveur
2ème partie - configuration du client
3ème partie - cas particulier du server core
4ème partie - dans un domaine
5ème partie - client dans un domaine et serveur en workgroup

Ces procédures passent par la configuration du firewall pour WMI, les autorisations DCOM, etc. Bon courage !

Administration à distance en ligne de commande

pascals — Tue, 25 Mar 2008 13:30:24 GMT

Windows n'est pas réputé pour ses capacités à être administré à distance en ligne de commandes. Or, déporter une interface graphique (TS) n'est pas toujours la solution la plus naturelle pour un administateur, ni la plus optimale en bande passante.

Même si l'on peut regretter l'absence d'un serveur SSH natif, il existe aujourd'hui des solutions pour ouvrir une ligne de commande sur un système Windows distant, comme nous allons le voir ici.

Telnet

La première solution est historique : le serveur Telnet inclus dans Windows XP, Windows Server 2003, Windows Vista et Windows Server 2008. Pour Windows Vista, il faut aller dans Control Panel - Programs - Turn Windows Features on or off (pour cette fois, je n'ai pas de version en français sous la main...) et cocher Telnet Server. Pour Windows Server 2008, il faut ajouter Telnet Server dans les features du système. Dans Windows XP et WIndows Server 2003, le service est déjà installé. Dans tous les cas, le serveur Telnet est désactivé par défaut : il faut activer le service (en mode manuel ou automatique) et le démarrer pour pouvoir l'utiliser. Cela se fait soit dans la console services.msc soit dans une ligne de commande administrateur :

sc config tlntsvr start= auto
sc start tlntsvr

Lors de l'installation sur Vista ou 2008, les règles adéquates sont automatiquement créées dans le firewall de Windows. Par contre sur XP ou 2003, il faut créer manuellement la règle, soit en autorisant le programme C:\WINDOWS\system32\tlntsvr.exe, soit en ouvrant le port 23/TCP.

Quid de la sécurité ? Le serveur Telnet de Windows supporte deux modes d'authentification : NTLM et mot de passe (en clair sur le réseau.) Bien que le second ne soit en général pas recommandé, il est tout à fait admissible si la connexion est protégée, par exemple par IPsec. Une fois l'utilisateur authentifié, la session est en clair : IPsec est donc un must si l'on souhaite protéger le trafic.

Dans un environnement de domaine Active Directory, le protocole NTLM est automatiquement utilisé par le client Telnet de Windows. La conséquence est qu'aucune réauthentification n'est nécessaire pour l'utilisateur : on tape simplement telnet nom_serveur et la session est ouverte.

Le paramètrage du serveur Telnet s'effectue dans le registre (HKLM\SOFTWARE\Microsoft\TelnetServer) : il est possible notamment de définir le shell.

Remarque : Le service Telnet Server n'est pas disponible dans le mode Server Core de Windows Server 2008 !... Toutefois rien n'est perdu, les deux solutions suivantes fonctionnent sur un serveur Core.

Références :

Windows Remote Shell

Windows Remote Shell est une fonctionnalité de WS-Man (Windows Remote Management ou WinRM) dans Windows Server 2003, Windows Vista et Windows Server 2008. La connexion se fait en HTTP ou HTTPS.

La manière la plus simple de configurer rapidement WinRM est d'exécuter la commande suivante :

winrm quickconfig

Depuis un client, pour exécuter une commande sur le serveur :

winrs -r:serveur commande

Par exemple pour exécuter un shell sur le serveur :

winrs -r:serveur cmd.exe

Windows Remote Shell peut également utiliser PowerShell. Pour plus d'information, tapez la commande :

winrm help config

Références :

SSH

Bien que SSH ne soit pas inclus nativement dans Windows, le sous-système POSIX est livré avec Windows Server 2003 R2, Windows Vista et Windows Server 2008. Nommé SUA (Subsystem for UNIX-based Applications), il s'installe comme les autres fonctionnalités de Windows. Il suffit ensuite de télécharger et installer les utilitaires et SDK pour SUA (lorsque la version finale pour Windows Server 2008 et Vista SP1 sera disponible.) Enfin, au lieu de compiler vous-même OpenSSH, téléchargez-le chez InteropSystems.

Deuxième solution : OpenSSH sur Cygwin.

Enfin, il existe une multitude de serveurs SSH tiers pour Windows, payants ou gratuits, que votre moteur de recherche favori trouvera sans peine.

Mise à jour 19/4/2008 - correction d'un lien et ajout du tag Administration.