Octobre est le mois de la sensibilisation à la cybersécurité et un excellent moment pour chasser les fantômes des configurations passées. L'une des mesures recommandées par la Cybersecurity & Infrastructure Security Agency (CISA) et la National Cybersecurity Alliance (NCA) est la suivante : "Mettez à jour vos logiciels". C'est un bon point de départ : Débarrassez vos domaines du protocole de réplication SYSVOL obsolète, File Replication Service (FRS).
Lire la suite
Il était une fois...
SYSVOL est un répertoire spécial qui réside sur chaque contrôleur de domaine (DC) au sein d'un domaine. Ce répertoire comprend des dossiers qui stockent des objets de stratégie de groupe (GPO) et des scripts de connexion auxquels les clients doivent accéder et qu'ils doivent synchroniser entre les DC.
Pour que ces scripts de connexion et ces GPO fonctionnent correctement, le SYSVOL doit être copié avec précision et rapidité dans l'ensemble du domaine. Ce processus, appelé réplication SYSVOL, garantit la duplication à l'identique des stratégies pertinentes d'un domaine vers un autre DC de ce domaine.
Comment se déroule la réplication du SYSVOL ?
Initialement, avec Windows 2000 Server, la réplication était gérée par le protocole FRS. FRS a remplacé le service de réplication LAN Manager de Windows NT Server. Cependant, Microsoft a supprimé le protocole FRS dans Windows Server 2008. À sa place, le protocole Distributed File System (DFS) gère désormais les réplications SYSVOL. La réplication DFS (DFSR) améliore les performances, la fiabilité et la cybersécurité de la réplication.
Le problème ? Bien qu'il ait été remplacé par le DFSR, plus récent et plus performant, le FRS est encore largement utilisé, en particulier dans les domaines qui ont eu un DC Windows Server 2003 à un moment ou à un autre. Mais parce qu'il est obsolète, FRS ne reçoit plus aucune correction de bogue ou de sécurité.
Cela pourrait poser de gros problèmes dans les environnements où le FRS est encore utilisé. Il est risqué de continuer à utiliser un ancien protocole pour interfacer avec les DC. Potentiellement, les attaquants peuvent manipuler les vulnérabilités de FRS pour compromettre SYSVOL et modifier les GPO ou les scripts de connexion afin de propager des logiciels malveillants et de se déplacer latéralement dans l'environnement. De quoi donner la chair de poule.
Bannir la réplication du FRS
Tout d'abord, il faut déterminer si le FRS est toujours utilisé sur un DC.
- Localisez la sous-clé de registre HKEY_LOCAL_MACHINESystemCurrentControlSetServicesDFSRParametersSysVolsMigrating SysvolsLocalState.
- Vérifier la valeur de la sous-clé.
- La valeur "3" indique que le DFSR est utilisé.
- Une valeur différente ou une sous-clé manquante indique que FRS est toujours utilisé.
- Voir l'article de Microsoft "Backing Up and Restoring an FRS-Replicated SYSVOL Folder" pour plus d'informations.
Si vous constatez que FRS est utilisé sur un DC, migrez vers DFSR et désactivez FRS dès que possible. Le processus de migration mettra à jour le processus de réplication et corrigera les problèmes de santé connexes dans votre environnement.
Pour un guide détaillé de la migration de FRS vers DFSR, voir l'article de Microsoft "Migrate SYSVOL Replication to DFS Replication" ou le SYSVOL Replication Migration Guide, disponible en téléchargement sur le site de Microsoft.