comment 0

Le prix d’un serveur Windows

02748596-photo-verrou-drm

Bonjour à tous !

J’ai (enfin) décidé de faire un article sur Samba 4, qui va venir bientôt.

Mais avant je sors un article « Le prix d’un serveur Windows » pour comprendre les économies potentielles !

Imaginons, je veux me faire un Windows Server avec Active Directory ; que dois-je payer ?

Une licence Windows Server :
J’ai trouvé la licence 2012 R2 Standard à 668€ HT

Mais avoir une licence Windows Server ne suffit pas pour avoir l’autorisation de connecter des clients dessus (quelle ironie), il faut maintenant acheter des CALs.

Mais c’est quoi une CAL ? :

La CAL (Client Access Licenses) Windows Server est obligatoire, dès qu’il y a « authentification » d’un poste (device) ou d’un utilisateur (user) pour accéder aux services de base de Windows Server (Active Directory, partage de fichiers et/ou d’imprimantes, etc…).

La CAL par « user » est liée à un individu qui peut l’utiliser pour se connecter sur différents postes de travail.

La CAL par « device » est liée à un matériel et tous les utilisateurs de ce matériel peuvent l’utiliser.

Les versions des CAL utilisées doivent obligatoirement correspondre aux versions de Windows Server. (une CAL 2003 n’est pas valable pour Server 2008, $$$ mais une CAL 2008 peut être downgradée pour un Server 2003)

En gros une licence Windows Server sans CAL ne sert à rien !

Plus d’infos ici : http://hebergement.u-psud.fr/distribution/acheter-a-la-di/microsoft/21-cal-client-acces-licence-microsoft.html

Certaines versions de Windows Server ne nécessitent pas de CALs ou en ont d’inclues. Voir ici :
http://www.microsoft.com/OEM/fr/licensing/productlicensing/Pages/server-cal.aspx#fbid=pWJXAn-6Z9m

tumblr_n0xm24qMfD1rb2l1co1_400
Si vous avez plusieurs serveurs de virtualisation, (XenServer, Proxmox, VMware vSphere Hypervisor ou Microsoft Hyper-V), Microsoft vous demande de payer une licence de « déplacement » (si vous migrez vos serveurs virtuels d’un serveur physique à l’autre:

Plus d’infos ici :
http://blogs.technet.com/b/fesnouf/archive/2013/12/26/licensing-windows-2012-standard.aspx

Article a suivre …

comment 0

Streamer le son le votre client Linux sur une télé ou Raspberry Pi

dlna-100018023-medium

Si comme moi vous utilisez un Linux Desktop, il peut être intéressant d’envoyer le son de votre cher OS préféré sur votre télé.

Dans mon cas c’est une smart TV Samsung ; elle dispose donc du AllShare.

J’ai pas mal cherché et je suis tombé sur Rygel.

Rygel est une solution multimédia UPnP/DLNA

Le DLNA a l’avantage d’être un protocole plus standard que le Airplay…

Principe de fonctionnement :

Vous pouvez choisir vers quoi envoyer.

toto

Il ne faut pas s’attendre a un envoi instantané, il y a quand même 4 secondes de latence entre la lecture réelle et l’écoute.

IMG_3051

Si cela vous intéresse, vous pouvez suivre ces tutos :
http://community.linuxmint.com/tutorial/view/1506
https://linuxsysadm.wordpress.com/2014/02/22/streaming-pulseaudio-on-a-samsung-smarttv/

Je fais pas de tuto Wiki ce coup-ci

Simon

comments 2

Lutter contre les ransomwares

Ransomware-Featured

C’est la panique un peu partout en ce moment !
D’abord « c’est quoi ça un ransomware ? »

Le ransomware prend en otage des données personnelles. Pour ce faire, un rançongiciel chiffre des données personnelles puis demande à leurs propriétaires d’envoyer de l’argent en échange de la clé qui permettra de les déchiffrer. (oui copier-coller de Wikipédia)

Ce virus a déjà fait beaucoup de dégâts dans les mairies et lycées de ma région.

La plupart des ransomwares n’ont pas besoin d’être en Administrateur pour s’exécuter, le ransomware se contente de se lancer et de crypter tout les fichiers *.doc *.jpg *.pdf…  accessibles en écriture par l’utilisateur. Cela va très très vite ! Il scan non seulement les documents présent sur l’ordinateur mais aussi tout les documents sur les lecteurs réseaux.

Clairement, une fois arrivé, il est trop tard pour réagir, la rançon ne vous permettra de récupérer vos fichiers que par petits bouts pour des sommes astronomique.

Votre seule option est de faire en sorte d’empêcher son exécution.
virus-computer
Quelques options :

  • Interdire le téléchargement des .exe, .bat, .vbs, .msi…
  • Si vous êtes avec Samba 3 ou 4, cacher les .exe présents sur les partages
  • Interdire avec des GPOs l’exécution des .exe dans certains répertoires

Cette dernière option est la plus efficace :
Je part de ce principe : Un utilisateur ne doit pas pouvoir exécuter des .exe dans les dossier auquel il a accès en écriture.

Le gros soucis en revanche est que cette GPO est extrêmement mal gérée sous Windows XP. (il ne fait pas la différence entre les .lnk et le reste)

Forcément les petits logiciels portables pratiques des utilisateurs seront bloqué. Mais l’avantage c’est que tous les logiciels du genre TOR/ophcrack/mimikatz seront bloqués également.

Vous trouverez des tutos pour les 3 options sur le wiki ici (en cour de rédaction)

Si vous avez d’autres idées, postez-les en commentaire !

Édit 13/03/2016 :

Je me contente ici de décrire techniquement et froidement les méthodes.

K3nny a retranscris plus proprement ce que j’ai écris ici :

http://reseaux85.fr/index.php?title=Strat%C3%A9gie_de_Restriction_Logiciel_et_Applocker

et ici :

http://reseaux85.fr/index.php?title=S%C3%A9curit%C3%A9_-_Crypto-Locker/Ransomware

Démonstration vidéo:

comments 6

Bloquer le réseau Tor

tor_browser_logo__no_trans_background__by_j_bob-d5gjsad

Je travaille dans un lycée et un collège, autant dire que je doit empêcher mes lycéens et mes collégiens de surfer sur des sites non-pédagogiques…

Depuis un certain temps maintenant est arrivé « Tor Browser »
Principe de fonctionnement du soft :
– Pas besoin d’être administrateur de la machine pour le lancer.
Au démarrage Tor va vous demander si votre réseau est équipé d’un proxy. Si vous cochez non il va essayer de contacter des « IP Tor »  à travers la passerelle configurée sur votre ordinateur et va scanner tout les ports qui peuvent potentiellement sortir sur internet.

La première sécurité est donc d’empêcher les clients de sortir sur directement sur internet et de mettre en place un proxy. Les clients ne pourront donc pas sortir sur internet sans passer par lui. Seul le proxy sera autorisé à sortir sur internet. Tor va donc scanner et ne jamais trouver de « porte de sortie ».

jns_ch12-18

Mais Tor (s’il est bien configuré) peut aussi passer par un proxy pour contacter directement des « IP Tor ». Son principe de fonctionnement est le suivant :
Tor contacte une adresse IP par le proxy et ne ferme pas la connexion, il la laisse ouverte et fait transiter la navigation Tor sur ce « tunnel » ouvert.

La solution est donc de bloquer avec Squid (ou autre) les connexions vers les IP de Tor

Par chance, ce site https://www.dan.me.uk/torlist/ liste la plupart des adresses IP Tor disponibles sur le net.

J’ai publié un petit tuto sur mon wiki ici

comment 0

osTicket – Solution de gestion de tickets

osticket-logo
Je cherchais une solution de gestion des incidents puissante mais simple. J’ai essayé GLPI, mais cela ne m’a pas plu. Je voulais une solution sans authentification pour les clients, pas d’authentification pour déposer un ticket. Une personne hors établissement doit être capable de faire une demande de support.

Les demandes/réponses peuvent se faire par envoi d’e-mail ou par interface web. Cependant j’ai préférer désactiver la fonction par e-mail ; la fonction interface web est si bien faite qu’elle est préférable.

Fonction osTicket :

  • Gestion ticket ouvert/fermé/résolu
  • Réponse automatique
  • Gestion SLA
  • Formulaire de dépôt de tickets

Je vous laisse découvrir tout ça :
http://osticket.com/

Petite démo ici (attention c’est une vieille version) :
http://www.ostickethacks.com/demo/

comment 0

WAPT – apt-get pour Windows

Je viens de découvrir un nouveau logiciel de déploiement : WAPT
WAPT est une solution qui aide au quotidien en automatisant les installations, les désinstallations et les mises à jour de l’ensemble des logiciels d’un parc informatique.

800px-Schema-wapt.svg

Il existe la version « WAPT Starter » que j’utilise pour les particuliers ou petite entreprise, (une utilisation vraiment copier-coller de APT sur linux), on installe les logiciels souhaités avec la petite interface web, et lorsqu’une mise à jour est dispo sur le dépot WAPT http://wapt.tranquil.it/wapt, le logiciel va vous proposer d’installer automatiquement toutes les mises à jour disponibles.

Avec la version « WAPT Serveur », vous pouvez gérer intégralement les logiciels à partir d’une console de gestion centrale avec votre propre dépôt privé.

Principe global de WAPT Serveur :
Une fois le client WAPT installé, vous pouvez par exemple faire un groupe de paquet logiciel « pc_service_commercial » et « pc_service_compta » puis pousser l’installation sur les postes.

Vous avez ensuite possibilité entre plusieurs types d’installation :
– L’installation immédiate
– Les mises à jour à l’extinction du poste
– Laisser l’utilisateur installer les mise à jour quand il le souhaite.

Dernier bonus :
– WAPT permet les dépôts privés multi-site et les dépôts peuvent également être disponibles depuis l’extérieur. Toujours également super pratique pour les commerciaux toujours en ballade. Les paquets sont d’ailleurs téléchargés en local sur le poste lorsque une mise à jour est disponible, l’installation peut donc être faite en étant déconnecté du réseau.
– Les paquets sont « partageables » par fichiers ou par dépôt publique, j’ai moi même fait mon propre dépôt publique : http://wapt.lesfourmisduweb.org/

Doc et présentation officielle :
Doc vidéo : http://doc.tranquil.it/co/portail.html

Installation :
Mon install (Wiki) : http://wiki.lesfourmisduweb.org/index.php/Serveur_WAPT
Wiki officiel :  http://dev.tranquil.it/wiki/WAPT_-_apt-get_pour_Windows

comment 0

Bienvenue !

Actuellement administrateur réseau dans un collège et un lycée, je suis passionné par l’informatique et les réseaux en général. Je porte une grande importance à l’usage de solutions libres autant en entreprise qu’en usage privé. Ce site sans prétention sert de présentation et de pense bête, j’y poste de manière aléatoire.

PS : cet article est entièrement pompé sur https://lacavernedemanu.fr/