Microsoft Project – livrable – fichiers srchui.dll et jscript.dll

Depuis Microsoft Project 2010 et 2013, en utilisant le menu de gestion des livrables, vous obtenez:

23-03-2014 12-09-39Ce message qui semble venir d’outre tombe de la version 2003 apparaît au lieu du panneau latéral.

Inutile de les chercher sur votre machine, vous ne les avez certainement pas.

C’est en fait un problème avec la zone « Internet » de internet explorer, même si votre serveur Project est dans la zone « intranet ».

La zone internet ne doit pas être avec le curseur au maximum en haut, sinon les livrables Project ne fonctionnent plus.

26-03-2014 07-43-13

Le tout même sur Windows Server 2012 R2 + Project 2013 SP1 + IE 11 complètement à jour…

 

 

TMG 2010: joindre une array: no such interface supported…

En voulant joindre un TMG 2010 à un autre pour former un array (une ferme quoi), j’ai obtenu le message d’erreur suivant très explicite:

tmg 2010 no such interface supported 0x80004002

Cela était dû au fait que l’autre noeud avait le Service pack 1 de TMG 2010, et pas celui ci…En essayant la jonction dans l’autre sens, le message d’erreur met au moins un peu sur les rails avec un problème de version du fichier de configuration.

 

Sécuriser son Windows dans le cloud (Dedibox/Amazon…)

Suite  à mon retour vers Dedibox, et le fait que j’y installe du Windows, je me suis demandé ce que je pouvais faire pour la sécuriser.

Voici les pistes envisagées:

  • Pas de port TCP accessible directement. Passer donc par exemple avec LogMeIn, au moins pendant la configuration. L’accès idrac n’est pas assez fluide et simple d’accès.
  • Renommer le compte Administrateur via GPedit
  • Interdire l’affichage du dernier compte authentifié via GPedit.
  • Ajouter un disclaimer, toujours via GPedit. Cela n’arrêtera pas un pirate motivé, mais peu suffire à bloquer certains logiciels de brute force RDP.
  • Autoriser RDP mais:
    • Sur un port TCP non standard. Procédure Microsoft : http://support.microsoft.com/kb/306759/en-us/
    • Utiliser le firewall Windows pour autoriser l’accès uniquement depuis certaines IP fixes. Pour y accéder depuis ailleurs, d’abord se connecter en LogMeIn pour modifier la règle firewall.
    • Autoriser uniquement les clients permettant une authentification réseau.
  • Scanner régulièrement les adresses IP depuis l’extérieur avec nmap pour vérifier ce qui est visible.
  • Appliquer les mises à jour Windows dès leur sortie.

Un usage atypique du firewall Windows 7

On pense souvent aux firewall, et celui intégré à Windows en particulier pour autoriser des flux entrants. Je vous propose là un autre usage, qui s’avère très commode:

Empêcher des applications de se connecter à Internet.

Ce blocage, sélectif, est redoutable : inutile de savoir les ip de destinations, car on bloque directement au niveau du processus. Donc même Akamai n’est plus un soucis 🙂

Un cas concret ? Un jeu qui aime bien aller sur les serveurs de l’éditeur pour faire pleins de choses inutiles.

La seule chose à faire est de ne pas oublier un autre exécutable que pourrait lancer le processus principal. Process explorer permet de voir les processus par exemple. Dans le toute, les faire tous 🙂

Certains verront peut être enfin un intérêt au firewall 😉

Consulting LOTP

je cherche des missions ponctuelles, par exemple:

  • Interventions sur production bloquée
  • Audits (tests d’intrusions, santé de votre infrastructure…)
  • Problèmes de performances
  • Projets de courte durée
  • Pilotes, maquettes
  • Veille technologique
  • Télé administration

Besoin d’un regard neuf sur un problème sans solution?

Ma triple compétence Microsoft/Réseau/Sécurité me permet d’intégrer toutes les briques de votre infrastructure dans la réflexion, et ainsi proposer la meilleure solution dans votre contexte.
Contrairement aux spécialistes mono techno voir mono produit, ma vision transversale me permet d’identifier les impacts à tous les niveaux et corréler des évènements ou paramétrages entre eux.
Vous avez certainement un caillou dans la chaussure que je serai ravi de vous enlever! A distance ou sur site, d’une heure à 2 mois de travail, nous trouverons ensemble une solution adaptée à votre contexte.

Aller plus loin

Vous pouvez aussi consulter mon CV

je suis joignable à cette adresse : mathieu.chateau@lotp.fr

Mon profil linkedin : linkedin.com/in/mathieuchateau

Certains éditeurs et la notion du mot « sécurité »

Aucun éditeur ne dira que son logiciel ou sa solution est mauvaise sur le plan de la sécurité. En revanche, il suffit souvent de pas franchement « creuser » pour découvrir un compte en dur par ici, un mot de passe à peine crypté par là…

Je possède Ciel Compta avec l’option de sauvegarde en ligne. Suite à la réinstallation de ma station, je cherchais mon mot de passe pour la sauvegarde en ligne par essai successif. M’est venu alors l’envie de voir la nature des échanges avec leur serveurs, grosse erreur !

Petit rappel de la plaquette de Ciel sur la sauvegarde en ligne:

Wireshark suffit pourtant à voir que la demande d’authentification circule en clair (http), un comble !

A 30$ le certificat SSL chez GoDaddy, c’est carrément abusé…Surtout au prix des logiciels Ciel….

CNAM + Paybox != sécurité ?

ma femme s’inscrivant au Cnam, me demande confirmation avant de rentrer sa carte bleue:

  • Le site est bien en https
  • Le domaine est paybox, très utilisé par les sites marchands
  • Le certificat est de type Extended SSL, Internet Explorer a mis le fond vert dans la barre d’adresse

Je donne donc mon feu vert…30 secondes plus tard, une belle erreur SQL pas gérée du tout:

cnam - paybox - erreur SQL

Pour une école, donnant notamment des cours informatique, cela me parait très léger:

  • Ils ne devraient utiliser que des procédures stockées
  • L’erreur n’apprend rien au client (il est censé prendre des cours d’informatique au mieux…)
  • Elle apprend par contre à un pirate que le code du site a des faiblesses, et qu’il y a sûrement moyen de faire des injections SQL.

La seule bonne nouvelle, c’est que Paybox ne renvoi que le début de la carte bleue au site du cnam, qui n’affiche donc qu’une information partielle.

les informaticiens travaillent beaucoup le jeudi!

J’ai commencé récemment une nouvelle mission où il y a de réels problèmes de performances. Suite à un problème applicatif à résoudre, je vais voir directement l’utilisatrice. Après quelques minutes de discussion, j’apprends que l’informatique travaille beaucoup le jeudi… Voyant mon air perplexe, elle me dit que les ordinateurs sont très lents le jeudi, et que l’informatique fait des mises à jour le jeudi!

L’analyse des utilisateurs est parfois maladroite, mais la récurrence sur le jeudi précisément est tout de même troublante… Je jette un oeil sur l’antivirus..Surprise, scan général tous les jeudis à midi en priorité maximale!
Je dis scan général, car c’était à la fois pour les postes clients et les serveurs. Aucun doute que les serveurs de fichiers apprécient le geste.

J’ai changé le paramétrage comme suit:

Stations de travail:

  • Scan quotidien à 21:00
  • Priorité la plus basse
  • pas de scan si il est sur batterie est qu’il reste moins de 20% de celle-ci
  • Si un scan est raté, il est joué au prochain démarrage

Serveurs:

  • Scan le dimanche midi
  • Priorité la plus basse
  • Si un scan est raté, il est joué au prochain démarrage

Le risque est que les utilisateurs éteignent leur stations le soir, et qu’ils aient donc un scan au démarrage tous les jours.

Cependant, je pense que c’est à l’informatique de gérer l’allumage/extinction des ordinateurs via un outil de gestion de parc. L’idée est de pouvoir déployer les patchs et applications la nuit sans rater de station (vive le wakeonlan).

Et vous, comment avez-vous programmé votre antivirus ?

Réinitialiser le mot de passe admin de domaine sur un DC Windows 2008 avec seulement le DVD d’installation

Bon, tout est dans le titre 🙂

Je n’ai pas utilisé mes VM de labo pendant quelque temps juste après les avoir installées..Et voilà que je ne me rappel plus du mot de passe administrateur du domaine… Plutôt que de réinstaller, j’ai trouvé un hack pour Vista , que j’ai réutilisé pour mon DC Windows Server 2008 ! J’ai juste poussé un peu plus loin en utilisant le DVD officiel d’installation de Windows Server 2008 au lieu de backtrack 🙂

Pour les allergiques ou trop pressé pour regarder la vidéo pas à pas, voici ce qu’il faut faire:

  • Démarrer sur le DVD d’installation de Windows Server 2008
  • Choisir « Réparer votre ordinateur »
  • Lancer une cmd
  • Aller dans c:\windows\system32
  • renommer Utilman.exe en Utilman.exe.bak
  • Copier cmd.exe en Utilman.exe
  • redémarrer sur Windows
  • Faire le raccourci clavier Windows + U devant la fenêtre de logon (lance normalement utilman.exe et donc là cmd.exe)
  • net user administrateur Nouveaumotdepasse123
  • Se logguer avec le compte administrateur du domaine
  • changer le mot de passe 😉
  • Redémarrer sur le DVD pour remettre le fichier original Utilman.exe