Chronologie des interventions sur l'infrastructure BTS SIO.
Derniere mise a jour : 21/05/2026 | Depuis le 27/03/2026 | 23 entrées
| Indicateur | Baseline (12/03) | Actuel | Objectif |
|---|---|---|---|
| Domain Admins | 9 | 4 | ≤ 5 |
| MinPasswordLength | 4 | 10 (FGPP: 12/16) | ≥ 12 |
| FGPP deployees | 0 | 3 | 3 |
| Comptes compromis (spray) | 8 / 82 (9,8%) | 1 (a traiter) | 0 |
| Rulesets Suricata | 0 / 64 | 32 / 64 | ≥ 24 |
| Interfaces Suricata | WAN | WAN + LAN | WAN + LAN |
| Quick wins Sprint 1 | 0 / 16 | 13 / 16 | 16 |
| Sprint 2 | 0 / 15 | 13 / 15 | 15 |
| Sprint 3 | 0 / 44 | 40 / 44 | 44 |
| Score PingCastle | 100 / 100 | a mesurer | < 70 |
| Domaine | Fait | A faire | En attente |
|---|---|---|---|
| Active Directory | 28 | 2 | 0 |
| Virtualisation / ProxMox | 5 | 0 | 0 |
| Reseau / Firewall | 6 | 0 | 0 |
| Plateforme | 4 | 0 | 0 |
| Securite transverse | 5 | 0 | 0 |
| Total | 55 | 0 | 0 |
jlb reactive sur DC1 (desactive depuis 04/05 par cleanup inactifs >90j)Jean-Luc BAPTISTE revient enseigner le SISR. Besoin d'acces Domain Admin pour administrer l'AD.
m.tourneur (Maxime Tourneur) sur DC1| MO | Titre | Pages |
|---|---|---|
| MO-AD-009 | Diagnostic echec connexion RDP | 14 |
| MO-AD-010 | Gestion du groupe Protected Users | 11 |
| MO-AD-011 | Jonction poste au domaine AD | 9 |
40 modes operatoires publies (~546 pages) couvrant 4 domaines : Plateforme (21), Active Directory (11), Securite (4), Reseau (4). Perimetre operationnel integralement couvert.
| MO | Titre | Pages |
|---|---|---|
| MO-NET-003 | Gestion des VLANs sur switches Aruba Instant On 1930 | 15 |
| MO-NET-004 | Routage inter-VLAN et filtrage sur OPNsense | 15 |
Bilan MOs : 40 modes opératoires publiés (~546 pages), domaine Réseau passe de 2 à 4 MOs.
Reste 4 tâches bloquées : T33 (Manu), T39/T46 (HyperV console), T49 (Manu)
| Finding | Risque |
|---|---|
| SAN P2000 credentials par défaut | Critique |
| iLO credentials faibles | Élevé |
| PKI intermédiaire BTSSIO expirée (10/2024) | Moyen |
| 16 ghost objects AD dans S110 | Faible |
| PSU 2 HyperV en défaut depuis 2019 | Moyen |
Contexte : Session sur site (apres-midi). Manu present. Objectif : hardening NAS Scotty + verification coherence Sprint 3.
| Heure | Domaine | Action | Ref audit | Statut |
|---|---|---|---|---|
| 14:00 | NAS | T30 — SMB Signing active sur NAS Scotty (server signing = mandatory) | F-NAS-002, R-NAS-002 | ✓ Fait |
| 14:15 | NAS | T66 fix — NTLMv1 desactive cote serveur (ntlm auth = no) | F-NAS-003, R-NAS-003 | ✓ Fait |
| 14:30 | NAS | T62 — Scan fichiers sensibles : 2 dumps SQL FOG avec MDP AD en clair identifies, ACL Backups-AD restreintes (chmod 700) | F-NAS-004, R-NAS-004 | ✓ Fait |
| 15:00 | NAS | T38 — SMB anonyme : risque accepte par Manu (intentionnel pour portables etudiants) | F-NAS-001 | ⚠ Accepte |
| 15:15 | Plateforme | T6 — AnyDesk DC2 : annule (Manu utilise pour administration a distance) | F-PLT-003, R-PLT-003 | ❌ Annule |
| 15:30 | Diagnostic | Health check DC1+DC2 : sains, replication OK, 0 erreurs 24h | — | ✓ OK |
| 15:45 | Diagnostic | HyperV (.4) toujours DOWN — Manu a reset le MDP, diagnostic physique a planifier | — | ⚠ Bloque |
T30 — SMB Signing NAS Scotty : Activation server signing = mandatory dans smb.conf. Empeche les attaques relay NTLM via partages NAS.
T66 fix — NTLMv1 NAS : ntlm auth = no dans smb.conf. Le fix precedent (NTLMv2 force cote client) ne bloquait pas les negociations NTLMv1 entrantes. Corrige cote serveur.
T62 — Fichiers sensibles : 2 fichiers SQL dans Backups-AD contenaient des hashs MDP AD en clair (dumps FOG). ACL restreintes a root (chmod 700 sur le repertoire). Pas de suppression (sauvegardes historiques).
T38 — SMB anonyme : Manu confirme que le partage anonyme est intentionnel pour les portables etudiants (pas de jonction domaine). Risque accepte, documente.
T6 — AnyDesk DC2 : Manu utilise AnyDesk pour administration distante. Tache annulee.
Verification post-reboot DC1 : Tous les changements Sprint 3 (GPO RDP, WinRM HTTPS, HASP off, Protected Users, FGPP) confirmes actifs. Aucune regression.
Avancement Sprint 3 : ~95% (38/~40). 2 taches bloquees par HyperV DOWN.
Contexte : Session sur site (RJ45 direct, lundi matin). Manu absent. Objectif : taches necessitant un acces physique.
| Heure | Domaine | Action | Ref audit | Statut |
|---|---|---|---|---|
| 11:15 | Diagnostic | Inventaire infra : DC1/DC2 UP, HyperV DOWN, NAS .11/.12 DOWN | — | ✓ OK |
| 11:20 | Reseau | T32 — Desactivation regle SSH WAN OPNsense (service deja off, regle residuelle desactivee) | F-SEC-003, R-SEC-003 | ✓ Fait |
| 11:20 | Reseau | T33 — Open_Bar = 10.0.0.0/16 constate. Reporte a Manu (impact etudiants) | F-SEC-004, R-SEC-004 | ⚠ Reporte |
| 11:28 | Maintenance | Reboot DC1 (48j uptime, RAM 0.8→2.6 GB, patches mars 2026) | — | ✓ Fait |
| 11:30 | AD | T55 — Desactivation 12 machines inactives >90j (S109/S110/S111 + EGGSY) | F-AD-011, R-AD-011 | ✓ Fait |
| 11:30 | AD | T56 — Desactivation 4 comptes inactifs (3 profs + NasUser). 7 etudiants exclus. | F-AD-011, R-AD-011 | ✓ Fait |
| 11:33 | AD | T57 — GPO Proxy vide constatee (ProxyServer=""). Proxy = transparent OPNsense. | F-NET-007, R-NET-007 | ⚠ Documente |
T32 — SSH WAN : Service SSH deja desactive (enablesshd off). Regle firewall WAN "Autorise la connexion a SSH" (any → self:Port_SSH/49222) desactivee. Backup config avant modification. Diff : seule cette regle modifiee sur 15.
T33 — Open_Bar : Alias = 10.0.0.0/16 (tout le reseau). Bypass proxy pour tout le monde. Modification reportee : risque de forcer tous les eleves a passer par le proxy. A definir avec Manu (sous-reseaux profs vs eleves vs serveurs).
DC1 Reboot : 48j uptime (boot 17/03). RAM 802 MB → 2612 MB (+225%). Total RAM visible 3.85 → 4.19 GB. Services NTDS/DNS/Netlogon/DFSR OK. Replication re-sync en cours.
T55 — Machines inactives : 12 machines (dsquery -inactive 13). Desactivees via dsmod, description "Desactive 2026-05-04". Reversible (Enable-ADAccount). EGGSY (Serveurs) a verifier avec Manu.
T56 — Comptes fantomes : 4 comptes (3 profs + NasUser). Etudiants Sio1/Sio2_2025 exclus (stage potentiel). Reversible.
T57 — GPO Proxy : GPO "Proxy" liee a Profs + Strategies SIO mais ProxyServer vide. Le proxy fonctionne au niveau OPNsense (redirection transparente 3128/3129). A discuter avec Manu.
Contexte : Acces physique RJ45 direct VLAN 112. Manu absent. Pas de VPN. WinRM vers DC1/DC2, API OPNsense, SSH ProxMox.
| Heure | Domaine | Action | Ref. audit | Status |
|---|---|---|---|---|
| 11:20 | Reseau | T32 — Regle SSH WAN OPNsense desactivee. Backup config capturee avant modification. | F-SEC-003, R-003 | ✓ Fait |
| 11:28 | AD | Reboot DC1 (48 jours uptime). RAM passe de 0.78 a 2.6 GB (+225%). Services DNS, NTDS, DFSR operationnels. | — | ✓ Fait |
| 11:30 | AD | T55 — 12 machines inactives (>90j) desactivees dans AD. 7 salles (S109, S110, S111 + EGGSY serveur). | F-AD-023, R-023 | ✓ Fait |
| 11:35 | AD | T56 — 4 comptes fantomes desactives (3 profs + NasUser). 7 comptes etudiants preserves (stages potentiels). | F-AD-024, R-024 | ✓ Fait |
| 11:40 | AD | T57 — GPO Proxy analysee : ProxyServer vide, AutoDetect=0. Proxy reel = transparent OPNsense (NAT ports 3128/3129). Documente, reporte pour decision Manu. | F-NET-006 | ✓ Documente |
| 12:00 | NAS | T66 — NAS QNAP scotty (10.0.112.5) : AFP desactive (port 548 ferme), rsync desactive, NTLMv2 force. Via retro-ingenierie API web QTS 4.2.6. | F-NAS-003, R-003 | ✓ Fait |
| 12:15 | NAS | T38 decouverte critique : acces anonyme SMB total. smbclient -N liste .ssh, Certificats, Backups-AD. map to guest non modifiable via API (necessite SSH). | F-NAS-001, R-001 | ⚠ Bloque |
Decouverte critique : Acces anonyme SMB NAS sans authentification — backups AD, cles SSH et certificats exposes en lecture libre. Necessite SSH NAS (filtre) pour corriger.
| Heure | Domaine | Action | Ref. audit | Status |
|---|---|---|---|---|
| 14:05 | AD | Verification replication post-reboot : 0 echecs / 5, delta 6m22s. DNS stabilise. | — | ✓ OK |
| 14:08 | AD | T31 — NLA DC2 corrige (0 → 1). GPO « Securite - Restriction RDP » creee : NLA obligatoire, TLS, chiffrement High. Liee OU Domain Controllers. | F-AD-017, R-017 | ✓ Fait |
| 14:12 | Reseau | T34 — OPNsense 26.1.5 : groupe « firewall-ops » cree (63 privileges operationnels). Comptes nominatifs clegrand + mmartinez. MDP Vaultwarden. | F-SEC-006, R-006 | ✓ Fait |
| 14:20 | AD | T39 — Scan DC1+DC2 : aucun dump FOG. Serveur FOG sur HyperV (10.0.112.4, DOWN >4j). | F-SUP-004 | ⚠ Bloque |
| 14:25 | AD | T59 — WinRM HTTPS (5986) active sur DC1 + DC2. Certificats existants reutilises. Firewall rules ajoutees. HTTP 5985 maintenu en transition. | F-AD-021, R-021 | ✓ Fait |
| 14:30 | AD | T60 — Sentinel LDK (hasplms) v27.0.1 desactive et arrete sur DC1. Aucune cle USB, service inutile. DC2 non affecte. | F-SEC-010, R-010 | ✓ Fait |
| 14:32 | AD | T61 — Certificats RDP verifies : DC1 CN=Srv2022.bts.sio (exp 2031), DC2 CN=Srv2022Phy.bts.sio. | F-AD-029, R-029 | ✓ Fait |
| 14:40 | Infra | T65 — ProxMox : ordre de demarrage configure pour 4 CTs critiques. WG(1) → Docker(2, 60s) → Vaultwarden(3) → Wazuh(4). | F-VIRT-005, R-005 | ✓ Fait |
Sprint 3 cumul 04/05 : 34 / ~40 (85%). 6 taches restantes bloquees par dependances externes (SSH NAS, HyperV DOWN, decisions Manu).
Vikunja : 102 / 182 taches terminees (56%).
Contexte : Suite session sur site. NAS QNAP TS-439 (scotty, 10.0.112.5). QTS 4.2.6 EOL. SSH filtre. Acces via retro-ingenierie API web QTS.
| Heure | Domaine | Action | Ref audit | Statut |
|---|---|---|---|---|
| 12:00 | NAS | T66 — AFP (AppleTalk) desactive. Port 548 ferme. | F-NAS-003, R-NAS-003 | ✓ Fait |
| 12:00 | NAS | T66 — rsync config desactivee. Daemon bloque connexions (protocol startup error). | F-NAS-003, R-NAS-003 | ✓ Fait |
| 12:00 | NAS | NTLMv2 force sur SMB NAS (samba3NTLMv2Only: 0→1). Option msadset. | — | ✓ Fait |
| 12:00 | NAS | T30 — SMB Signing : non expose dans API QTS 4.2. Necessite SSH. | F-NAS-001, R-NAS-001 | ⚠ Bloque |
| 12:00 | NAS | T38 — Acces anonyme SMB total confirme (Partage NAS + images). map to guest non modifiable via API. | F-NAS-002, R-NAS-002 | ⚠ Critique |
T66 — AFP/rsync : API decouverte par analyse JS QTS (winMacNfs.js, backupserver.js). AFP via POST net/networkRequest.cgi?subfunc=apple_net. rsync via POST backup/backupRequest.cgi?subfunc=bak_server. NTLMv2 via option=msadset (pas msset). Incident mineur : SMB desactive 30s par checkbox manquante, retabli immediatement.
T38 — Acces anonyme SMB : smbclient -N accede sans authentification aux partages. Donnees sensibles exposees : .ssh, Certificats, Backups-AD, ISOs, VMs. Configuration Samba "map to guest" non accessible via API web. Necessite SSH ou intervention manuelle web UI. Priorite haute.
T30 — SMB Signing : QTS 4.2.6 ne propose pas ce parametre dans l interface web. Modification smb.conf requise via SSH (filtre). Prerequis : activer SSH dans panneau Telnet/SSH du NAS.
| Heure | Domaine | Action | Ref. audit | Status |
|---|---|---|---|---|
| 09:30 | AD | Diagnostics complets DC1+DC2 via WinRM. RAM DC1 0.78/3.52 GB (critique). LAPS confirme 25/59 (42.4%). Replication 0% echecs. DFSR sain. | — | ✓ OK |
| 09:40 | AD | Events 2889 analyses : 152 events, source unique Authentik (10.0.112.20). Bind LDAP plain avec domain admin. | F-AD-019 | ✓ OK |
| 09:50 | Docker | Authentik bascule de ldap:// vers ldaps://10.0.112.2:636. TLS 1.3 confirme. Synchro 5 pages, 0 erreur. Events 2889 post-bascule : ZERO. | F-AD-019 | ✓ OK |
| 09:57 | AD | LDAPServerIntegrity=2 (Require) applique sur DC1 puis DC2. LDAP signing enforce. | F-AD-019 / R-020 | ✓ OK |
Decouvertes cles :
Impact : Finding H2 ferme. Action #28 du plan de remediation fermee. PingCastle A-DCLdapSign devrait disparaitre au prochain scan.
Sprint 3 cumul 01/05 : 24 / ~40 (+T24 LDAP Signing).
Contexte : Session a distance (VPN WireGuard). 3 taches Sprint 3 executees sur DC1/DC2/OPNsense.
| Heure | Domaine | Action | Ref audit | Statut |
|---|---|---|---|---|
| 20:30 | AD | T24 — LDAP Signing : activation audit (Events 2889) sur DC1+DC2. 315 unsigned binds detectes (Event 2887, 14/04). Phase 2 apres 48h. | F-AD-019 / R-AD-019 | ▲ En cours |
| 20:45 | AD | T36 — Sysmon v15.20 deploye sur DC1 (Srv2022) et DC2 (Srv2022Phy). Config SwiftOnSecurity, services Running. | F-AD-023 / R-AD-023 | ✓ OK |
| 21:00 | Reseau | T40 — HTTPS active sur OPNsense. 3 certs expires remplaces (nouveau cert CN=opnsense.bts.sio, CA racine, 10 ans). HTTP redirige vers HTTPS. Zabbix non traite (HyperV down). | F-NET-017 / R-NET-017 | ✓ OK |
Microsoft-Windows-Sysmon/Operational (64 Mo max).Sprint 3 apres cette 1re session : 11 / ~40. T24 en cours (phase audit). Voir sessions suivantes.
Contexte : Session a distance (VPN WireGuard). Batch de 6 taches de durcissement AD + verification de 5 taches anterieures sur DC1+DC2.
| Heure | Domaine | Action | Ref audit | Statut |
|---|---|---|---|---|
| 19:38 | AD | T50 — 5 admins ajoutes au groupe Protected Users | F-AD-010, R-AD-010 | ✓ Fait |
| 19:38 | AD | T51 — AccountNotDelegated=True sur 5/5 comptes admin (built-in corrige) | F-AD-010 | ✓ Fait |
| 19:41 | AD | T52 — Hardened Paths corriges via GPO (RequireMutualAuthentication+Integrity) | F-AD-022 | ✓ Fait |
| 19:38 | AD | T54 — AdminCount GGPROFS : heritage ACL restaure | F-AD-002 | ✓ Fait |
| 19:38 | AD | T63 — Event logs augmentes a 256 Mo (5 logs x 2 DCs via WinRM) | F-AD-022 | ✓ Fait |
| 19:38 | AD | T64 — Audit failure active (auditpol, 60/60 sous-categories DC1+DC2) | F-AD-022 | ✓ Fait |
| 19:38 | AD | Verifications : T27 machineAccountQuota=0, T44 Corbeille AD, T45 DNS, T47 TEMPLATEDU, T58 Schema Admins vide | — | ✓ Confirme |
Impact : Protected Users elimine le cache de credentials et force Kerberos AES (pas de NTLM). AccountNotDelegated bloque l'impersonation des comptes admin. Event logs 256 Mo et audit failure 60/60 completent la telemetrie de securite.
Sprint 3 : 17 / ~40 apres ce batch.
Contexte : Session a distance (VPN WireGuard). Deux taches majeures du Sprint 3.
| Heure | Domaine | Action | Ref audit | Statut |
|---|---|---|---|---|
| 20:19 | AD | T41 — LDAPS 636 active sur DC1 et DC2. Certificats auto-signes RSA 2048 (5 ans), importes Trusted Root CA. TLS 1.2/1.3. Auth LDAPS verifiee. | F-AD-019, R-020 | ✓ Fait |
| 20:19 | AD | T42 — DFSR SYSVOL DC2 repare. DC2 offline depuis ~septembre 2023 (1046 jours). Procedure D4/D2 non-authoritative. 20/20 GPOs repliquees. Partages SYSVOL+NETLOGON restaures. | F-AD-030, R-017 | ✓ Fait |
Decouvertes cles :
Impact : LDAPS elimine le trafic LDAP en clair (F-AD-019 critique). DFSR restaure la resilience AD : SYSVOL et NETLOGON accessibles depuis les deux DCs.
Sprint 3 cumul 30/04 : 23 / ~40 (3 sessions VPN). T24 LDAP Signing en phase audit (Events 2889).
Contexte : Session sur place au BTS SIO (poste 10.0.232.29, VLAN pedago). Paul present et validant T16. Objectif : publier MO-PLT-021 (T14 + T16 + 2FA TOTP), puis audit de coherence Wiki.js et Vikunja.
| Heure | Domaine | Action | Ref audit | Statut |
|---|---|---|---|---|
| 10:28 | Plateforme | T16 — Harmonisation ACL /pool/icad via groupe PVEAdmin |
F-VIRT-002 / F-VIRT-005 | ✓ Fait |
| 10:52 | Documentation | MO-PLT-021 v1.0 (16 pages, T14 + T16 + 2FA TOTP via pvesh) |
— | ✓ Publie |
| 11:09 | Suivi | Vikunja : T14, T16, T21 marquees done (bucket Termine) |
— | ✓ Fait |
| 11:21 | Wiki.js | Audit coherence 8 pages index (home, procedures, journal, phases, phase-1, indicateurs, architecture, phase-4) | — | ✓ MAJ |
| 11:28 | Infra | Incident : cache nginx-proxy (206 entrees obsoletes) purge | — | ✓ Resolu |
| 11:35 | Wiki.js | Sidebar nav MO-PLT-021 + entree journal 16/04 | — | ✓ Fait |
T16 — Harmonisation pool/icad : trois comptes etudiants (dbalmigere, lbonet, mboyer) etaient individuellement Administrator sur /pool/icad (42 privileges chacun). ACL remplacee par pveum acl modify /pool/icad --groups icad --roles PVEAdmin puis retrait des 3 ACL utilisateurs Administrator. Sept privileges sensibles retires : Permissions.Modify, Sys.Modify, Realm.Allocate, Mapping.Modify, Sys.AccessNetwork, Sys.Incoming, Sys.PowerMgmt. Modele desormais aligne sur les pools ksav et publicom (groupe PVEAdmin). Script reproductible : audit/remediation/sprint2/T16_hardening_pool_icad.sh.
MO-PLT-021 (16 pages) : (1) creation des comptes nominatifs ProxMox clegrand@pve et manu@pve (realm PVE, role PVEAdmin, ACL /), (2) remediation T16 avec baseline ACL avant/apres, (3) inscription 2FA TOTP via pvesh — agnostique application (Aegis, Authy, Google Authenticator, FreeOTP, bw) et conforme RFC 6238. Exemple complet d'un login en deux etapes (NeedTFA ticket partiel puis ticket complet via pvesh create /access/ticket). Douze captures pseudo-terminal generees via scripts/render_terminal_capture.py.
Audit coherence : huit pages index Wiki.js remises a jour pour refleter 33 MOs publies / environ 442 pages / 82 taches done / 180 taches totales / 46 % / date 16/04. Vikunja : T14, T16, T21 deplacees vers le bucket Termine (id 9), label En attente (id 12) retire de trois taches (16, 20, 26). Pages Wiki.js auditees : home (357), procedures (351), journal-de-bord (352), phases (358), phase-1-securisation (354), indicateurs (353), architecture (16), phase-4-automatisation (7).
Incident cache nginx : apres les MAJ psql des huit pages, les compteurs obsoletes (34 MOs / 20 MOs) restaient affiches malgre Ctrl+Shift+R. Diagnostic : 206 entrees obsoletes dans /var/cache/nginx/proxy du conteneur nginx-proxy. Purge totale (find /var/cache/nginx/proxy -type f -delete) + nginx -s reload + docker restart wikijs ont restaure les compteurs a jour. Pattern documente en memoire pour les prochaines sessions.
Finitions Wiki.js : (1) insertion de l'entree nav-moplt021 — MO-PLT-021 — Comptes + 2FA — dans navigation.config apres nav-moplt020, (2) creation de la presente entree journal 16/04, (3) re-render de /fr/journal-de-bord via GraphQL + nouvelle purge du cache nginx proxy.
Compteur global : 32 → 33 MOs publies (~442 pages).
Connectivite sur place (10.0.232.29) : Zabbix (10.0.112.190) debloque sur toutes les interfaces, docker-srv (10.0.112.20) et Gitea externe OK. OPNsense 2 (10.0.112.101), Ferme HyperV (10.0.112.4) et SuluCisco Wifi (10.0.112.6) toujours injoignables (ICMP + TCP ports 22/80/443 ferme) — verification physique de la baie a planifier.
Git : commit 2bbc2f6 pousse sur origin/main (17 fichiers, +735 lignes).
Prochaines etapes : (1) demarrer le memoire CNAM (priorite 1, chantier principal non entame), (2) MO-SEC-004 Suricata si l'IPS est stable (verification via Zabbix desormais accessible on-site), (3) MO-AD-004 LAPS apres T25 (extension du schema AD requise).
Contexte : Session apres-midi sur place au BTS SIO (poste 10.0.232.29, VLAN pedago, gateway 10.0.112.1). Manu et Paul absents l'apres-midi. Objectif : exploiter l'acces on-site pour interroger l'API Suricata d'OPNsense, rediger MO-SEC-004 (TP cybersecu) et clore la tache Vikunja #164 (trafic STUN suspect sur ce poste).
| Heure | Domaine | Action | Statut |
|---|---|---|---|
| 13:05 | Investigation | Tache #164 STUN sur 10.0.232.29 : ss/lsof/journalctl, 0 listener UDP STUN dedie, hypothese Brave/WebRTC confirmee | ✓ Faux positif |
| 13:15 | OPNsense | Decouverte etat Suricata via API REST authentifiee : mode IDS (PCAP), 32/68 rulesets, WAN+LAN, service running | ✓ Stable |
| 13:25 | Captures | Generation 7 PNG (Playwright sur OPNsense UI : Settings, Rules, User defined, Alerts) + 2 reutilisees de MO-SEC-002 | ✓ Generes |
| 13:30 | Documentation | MO-SEC-004 v1.0 (19 pages) : preparation pre-TP, desactivation/suppress, surveillance parallele, restauration, cas types Nmap/Hydra/Metasploit/Wireshark/DVWA | ✓ Compile |
| 14:00 | Wiki.js | Page MO-SEC-004 publiee + 4 indexes (procedures, home, phases, indicateurs) MAJ + sidebar nav (nav-mosec003 oublie ajoute + nav-mosec004) | ✓ Publie |
| 14:10 | Vikunja | Tache #82 Suricata IDS/IPS conteneurise -> bucket Termine | ✓ Fait |
| 14:30 | Documentation | MO-SEC-002 v1.1 publie : correction origine STUN (Brave/WebRTC, non AnyDesk), 64->68 rulesets, ajout section Origines courantes du STUN + Voir aussi (renvoi MO-SEC-004) ; 15->19 pages | ✓ Publie |
| 14:35 | Documentation | MO-AD-008 v1.1 publie : note de synchronisation post-rotation OPNsense (Colombo66 obsolete depuis 16/04, items residuels via MO-SEC-003) | ✓ Publie |
Investigation #164 STUN : snapshot UDP du poste 10.0.232.29 a montre 0 listener sur les ports STUN dedies (3478, 5349, 19302, 3479) et 0 socket UDP etabli vers ces ports. Les seuls flux UDP actifs etaient DHCP, mDNS, KDE Connect (LAN) et QUIC HTTP/3 vers Cloudflare/Google/Fastly via Brave (32 processus). L'alerte Suricata ET INFO STUN Binding Request (SID 2033078) concerne donc des candidats ICE WebRTC dormants emis par Brave/Firefox lors de visites de pages contenant du WebRTC, pas un usage P2P malveillant. Recommandation Suricata : whitelister 10.0.232.29 sur cette regle ou ajuster a >50 binding/min pour ne declencher que sur volumetrie anormale.
Decouverte etat Suricata : mot de passe Colombo66 rejete (memoire 9 jours obsolete), recupere le mdp courant via Vaultwarden CLI (bw unlock --raw + bw get password 80150c52). Login OPNsense reussi via curl + CSRF token. Endpoints API utiles confirmes : /api/ids/service/status (running), /api/ids/settings/get (mode pcap = IDS, interfaces lan, wan, homenet 10.0.0.0/8 + 192.168.0.0/16 + 172.16.0.0/12), /api/ids/settings/listRulesets (68 rulesets disponibles, 32 actifs dont abuse.ch/Feodo, abuse.ch/SSL Fingerprint, abuse.ch/ThreatFox, abuse.ch/URLhaus). Le mode IDS confirme : MO-SEC-004 traite uniquement la lisibilite des alertes pendant TP, pas le risque de blocage.
MO-SEC-004 (19 pages) : structure en trois temps (avant/pendant/apres TP) + cas types pour les 5 ateliers cybersecu standards. Snapshot des rulesets actifs en debut de seance, desactivation ciblee ou suppression par SID via User defined, surveillance parallele de l'onglet Alerts avec filtre !10.0.232.0/24, restauration et entree obligatoire dans le journal de bord. Sept captures Playwright generees automatiquement via scripts/capture_mo_sec_004.py (login Vaultwarden + Chromium headless). Renvoi vers MO-SEC-002 pour la consultation quotidienne et MO-NET-001 pour le cadre de validation.
**Compteur global : 33 -> 34 MOs publies (~465 pages apres MAJ SEC-002 v1.1).
MOs mis a jour suite a l'investigation #164 STUN : MO-SEC-002 v1.1 corrige une affirmation erronee de la v1.0 (le trafic STUN du poste 10.0.232.29 etait attribue a AnyDesk alors qu'il s'agit en realite de Brave/WebRTC) et enrichit la documentation d'une section Origines courantes du trafic STUN avec demarche d'investigation. MO-AD-008 v1.1 ajoute une note tracant la rotation OPNsense effective du 14/04 (obsolescence de Colombo66). Pas de nouveau MO requis -- les decouvertes infrastructurelles (mode Suricata IDS confirme, pattern API OPNsense, asset path Wiki.js) sont consignees en memoire.
Reste un seul MO planifie (MO-AD-004 LAPS, bloque T25).**
Connectivite sur place (rappel matin) : Zabbix (10.0.112.190) et tous les CTs/PVE accessibles. OPNsense 2 (10.0.112.101), Ferme HyperV (10.0.112.4), SuluCisco Wifi (10.0.112.6) toujours injoignables (extinction physique probable, diagnostic baie a planifier).
Prochaines etapes : demarrer le memoire CNAM (priorite 1, chantier principal non entame, repertoire memoire/rapport/ a creer en parallele de memoire/proposition/), MO-AD-004 LAPS apres T25 (extension schema AD requise), TOTP reel clegrand@pve (5 min avec smartphone), diag physique baie tant qu'on est sur place.
Contexte : Suite de la session apres-midi sur place. Apres MO-SEC-004 (14h00) et corrections SEC-002 v1.1 + AD-008 v1.1 (14h35), execution de T25 (Windows LAPS) puis redaction et publication de MO-AD-004. Plus aucun MO en attente apres cette publication.
| Heure | Domaine | Action | Statut |
|---|---|---|---|
| 14:25 | T25 pre-flight | Audit non destructif via WinRM : OS Server 2022, Update-LapsADSchema dispo, OUs S109/S110/S111 OK (72 postes), backup wbadmin du 12/04, schema master = DC1 | ✓ Tous feux verts |
| 14:28 | T25 elevation | Ajout temporaire BTSAdministrateur a Schema Admins (RID 518) + Enterprise Admins (RID 519). Token NTLM rafraichi via nouvelle session WinRM | ✓ Privileges OK |
| 14:30 | T25 schema | Update-LapsADSchema : 4 attributs ms-LAPS-* deja presents (extension partielle KB5025230 anterieure) + ajout extended right ms-LAPS-Encrypted-Password-Attributes + classe computer mise a jour | ✓ Idempotent OK |
| 14:31 | T25 ACL OUs | Set-LapsADComputerSelfPermission + Set-LapsADReadPasswordPermission sur S109/S110/S111 (Admins du domaine) | ✓ OK 3/3 |
| 14:34 | T25 GPO | Creation GPO "LAPS - Rotation MDP admin local" + 6 valeurs registry (BackupDirectory=AD, AgeDays=30, Length=20, Complexity=4, PostAuthActions=5, PostAuthDelay=24h) | ✓ Cree |
| 14:34 | T25 lien GPO | Liaison GPO -> 3 OUs (POSTES_S109/S110/S111). 72 postes desormais cibles. | ✓ Lie |
| 14:35 | T25 nettoyage | Retrait BTSAdministrateur de Schema Admins + Enterprise Admins (best practice : ces groupes restent vides en routine) | ✓ OK |
| 14:50 | MO-AD-004 v1.0 | 17 pages avec 9 captures pseudo-terminal generees via render_terminal_capture.py. Sections : objet, theorie LAPS legacy vs natif, chaine ACL, procedure 9 etapes, verifications, depannage, rollback | ✓ Compile |
| 15:05 | Wiki.js | Page MO-AD-004 publiee + 4 indexes (procedures 34->35, home, phases, indicateurs) MAJ + sidebar nav-moad004 + journal PM2 | ✓ Publie |
Decouverte cle : Update-LapsADSchema exige a la fois Schema Admins (RID 518) pour ecrire dans CN=Schema et Enterprise Admins (RID 519) pour creer le extended right ms-LAPS-Encrypted-Password-Attributes dans CN=Configuration. Domain Admins ne suffit pas. Le token NTLM etant fige a l'authentification, rouvrir une nouvelle session WinRM apres l'ajout aux groupes est obligatoire pour que le token reflete les nouvelles appartenances.
Choix de design : GPO entierement creee par script (New-GPO + Set-GPRegistryValue) sans passage par la console graphique. Six valeurs registry HKLMSoftwareMicrosoftWindowsCurrentVersionLAPSConfig suffisent : BackupDirectory=2 (AD), PasswordAgeDays=30, PasswordLength=20, PasswordComplexity=4 (full), PostAuthenticationActions=5 (reset+logoff), PostAuthenticationResetDelay=24h.
Validation differee : Invoke-GPUpdate -Computer S109HP09 echoue car le Task Scheduler a distance est desactive sur les postes etudiants (durcissement attendu). La rotation des MDP locaux se declenchera au prochain cycle gpupdate naturel (90 min ± 30 min de jitter Microsoft) ou au prochain demarrage. Verification recommandee : sondage Get-LapsADPassword sur un echantillon dans 2h, puis sur les 72 postes le lendemain (postes eteints excludes).
Compteur global : 34 -> 35 MOs publies (~482 pages). Plus aucun MO en attente. Sprint 2 : 13/15 taches done apres T25.
Bilan journee 16/04 (matin + apres-midi) : T16 pool/icad + MO-PLT-021 (16p) le matin, MO-SEC-004 (19p) + MO-SEC-002 v1.1 + MO-AD-008 v1.1 + MO-AD-004 (17p) l'apres-midi. Total : 4 nouveaux MOs + 2 MAJ + T16 + T25 executes en une journee on-site.
Prochaines etapes : memoire CNAM (priorite 1, chantier principal), TOTP reel clegrand@pve, diag physique baie, DNS BTS pour vikunja.legrand-tech.fr.
Contexte : Suite de la session sur place BTS SIO apres publication de MO-AD-004. 35 MOs couvrent 100% du perimetre operationnel. Session orientee Sprint 3 : durcissement protocoles d'authentification legacy (T28, T29) via WinRM DC1+DC2, et cloture definitive de T14 (2FA TOTP sur clegrand@pve) via l'API REST ProxMox.
| Heure | Domaine | Action | Ref audit | Statut |
|---|---|---|---|---|
| 16:25 | T29 LLMNR | GPO Securite - Desactiver LLMNR (id 71b49218-c951-4198-af46-e10fb7931ed1) creee sur DC1, EnableMulticast=0 dans HKLM PoliciesMicrosoftWindows NTDNSClient, liee a DC=bts,DC=sio |
F-NET-005, R-NET-005 | ✓ Cree et lie |
| 16:25 | T28 DC1 | Registre Lsa : LmCompatibilityLevel null->5 (NTLMv2 only, refuse LM+NTLM) + NoLMHash=1 (deja idempotent) |
F-AD-018, R-AD-018 | ✓ OK |
| 16:26 | Monitoring DC1 | DC1/DC2/NAS ping UP, events 4625 recents anterieurs au changement | -- | ✓ Pas de regression |
| 16:27 | T28 DC2 | Registre Lsa identique sur SRV2022PHY (DC2) | F-AD-018, R-AD-018 | ✓ OK |
| 16:28 | Verif finale | DC1 : LmCompat=5, NoLMHash=1, GPO LLMNR liee. DC2 : LmCompat=5, NoLMHash=1 (GPO LLMNR non visible en local - faux-negatif connu lie a ADWS casse, F-AD-030 / T42 a venir) | -- | ✓ OK |
| 16:32 | T25 validation | 14/72 postes (19,4%) ont publie l'attribut ms-LAPS-Password : S109 3/23, S110 5/32, S111 6/17. Config GPO id 953af54d-... + ACLs OUs valides cote DC |
-- | ⏳ Partiel |
| 16:36 | T14 cloture (TOTP) | Enrolement TOTP clegrand@pve 100% via API REST (aucune UI). Secret base32 genere en Python stdlib (20 octets). POST /access/tfa/clegrand@pve avec totp URI + value (code validation) + password. TFA id 493082dd-5e66-4827-b8c8-d8415562476b. Login 2FA complet valide (phase 1 user+pwd -> ticket partiel, phase 2 challenge+code -> ticket final) |
T14 | ✓ Actif |
| 16:48 | Git | Commit 169dc5b pushe (3 scripts, 607 insertions : preflight + execute 8-stages + validate) | -- | ✓ Pushe |
| 16:53 | T25 revalidation | Toujours 14/72 (stagnation depuis 16h32) : postes eteints en fin d'aprem + PostAuthDelay 24h | -- | ⏳ A revalider demain 9h |
Decouverte cle (IPs DC1/DC2) : L'IP 10.0.112.10 n'est PAS un DC, c'est Vaultwarden accessible en HTTPS 443 depuis le VLAN pedago. Les vraies IPs sont DC1 = 10.0.112.2 (SRV2022 HyperV) et DC2 = 10.0.112.3 (SRV2022PHY).
Decouverte cle (ProxMox 8.4 TOTP) : pveum user tfa add n'existe pas en CLI. L'enrolement TOTP passe exclusivement par l'API REST POST /access/tfa/{userid} avec type=totp, totp (URI provisioning complete), value (code TOTP courant), description, password (mdp user pour confirmation identite). Le serveur accepte un secret fourni par le client. Login 2FA = ticket TFA partiel phase 1 puis challenge avec password=totp:<code> phase 2.
Decouverte cle (WinRM DC2) : WinRM DC2 fonctionne pour operations purement locales (registre, services) meme si ADWS casse. Set-ItemProperty HKLM:SYSTEMCurrentControlSetControlLsa passe, mais Get-ADDomain, Get-GPO, Get-GPRegistryValue retournent vide. GPOs visibles via PDC=DC1 uniquement. T42 (reparation WMI+DFSR DC2) toujours en attente.
Impact analyse :
| Finding | Avant | Apres | Criticite residuelle |
|---|---|---|---|
| F-AD-018 (LM hashes + NTLMv1 sur DCs) | Critique | Corrige (DC1 + DC2) | Faible (prise d'effet LSA au prochain reboot nocturne) |
| F-NET-005 (LLMNR attaques Responder/relay) | Eleve | Corrige via GPO domaine | Faible (postes actifs au prochain gpupdate) |
| T14 (2FA ProxMox clegrand@pve) | Absent | Actif | 0 |
Prochaines etapes :
python3 scripts/T25_validate_laps.py --full apres reveil des postes etudiants. Viser > 80% ; si < 50%, investiguer KB Windows (cumulative update 2023+) sur echantillon.Compteurs finaux 16/04 fin de journee : 35 MOs (~482 p) | Sprint 2 : 13/15 | Sprint 3 : 3/~40 | Vikunja : 86/183 (47%) | 6 commits pushes (2bbc2f6, 3e81681, 85647e7, 82cce72, 647a3bc, 169dc5b) | TFA ProxMox : clegrand@pve OK.
Contexte : Session a distance (VPN WireGuard). Objectif : executer la seconde rotation du compte krbtgt (T21 phase 2) apres fenetre d'attente de plus de 12 heures post phase 1 (14/04 13:02:38). Garde-fou Microsoft : interdiction de deux rotations rapprochees (< 10 h) qui invalideraient tous les TGTs en vol.
| Heure | Domaine | Action | Ref audit | Statut |
|---|---|---|---|---|
| 18:48 | AD | Garde-fou pre-Phase 2 (delta > 10 h) | — | ✓ 29,77 h |
| 18:52 | AD | T21 phase 2 — Rotation krbtgt (2e passe) | F-AD-009, R-015 | ✓ Fait |
| 18:54 | AD | repadmin /syncall /AdeP + propagation DC2 |
— | ✓ OK |
| 18:55 | AD | Verification PasswordLastSet DC1 = DC2 |
— | ✓ Identique |
T21 phase 2 — Rotation krbtgt : Generation MDP aleatoire 32 caracteres ASCII 33-126 (identique au protocole phase 1), Set-ADAccountPassword -Identity krbtgt -Reset. Replication declenchee immediatement via repadmin /syncall /AdeP : le DC2 repond l'erreur 110 chronique (RPC port 5722, DFSR casse depuis 27/03) mais la replication principale via ports 135/389/636 propage correctement la nouvelle cle. PasswordLastSet = 2026-04-15 18:52:21 identique sur Srv2022 et Srv2022Phy. Delta Phase 1 → Phase 2 : 29,81 heures — au-dela des 12 heures recommandees, dans la fenetre de 10 a 48 heures. Cle N-1 (celle de la phase 1) officiellement ecartee au profit de N-2 (jetee par AD). Tout Golden Ticket forge avec l'ancien hash krbtgt (anterieur au 14/04) est desormais rejete par les KDCs.
Validation utilisateurs : test de connexion interactive sur un poste du VLAN administratif (logon standard OK) puis sur un poste pedagogique avec compte eleve (klist purge + gpupdate /force + logon, TGT frais visible via klist tgt, nouveau kvno observe). Tache planifiee T43 (backup SystemState dimanche 3h) verifiee : service planificateur ne requiert pas de re-authentification, pas d'impact.
Documentation : publication MO-AD-002 v1.0 (14 pages). Mode operatoire dedie au compte krbtgt et a la mecanique N / N-1. Contient : theorie Golden Ticket (role krbtgt, mecanique de signature TGT, necessite de la double rotation), procedure detaillee Phase 1 et Phase 2 (generation aleatoire, Set-ADAccountPassword, repadmin /syncall), fenetre d'attente, verifications post-rotation (klist, kvno, tests VLAN admin + pedagogique), depannage (erreur RPC 110 DC2, utilisateurs deconnectes, Set-ADAccountPassword unwilling to process, DFSR), automatisation via T21_rotation_krbtgt.ps1 avec garde-fou integre, rollback (restauration authoritative DSRM).
Compteur global : 32 -> 33 MOs publies (380 -> 394 pages).
Wiki.js synchronise : page 380 (MO-AD-002) creee, index procedures (351), home (357), phases (358), indicateurs (353), architecture (16), phase-1 (354), phase-4 (7) et journal (352) mis a jour ; sidebar nav : ajout de l'entree nav-moad002 entre MO-AD-001 et MO-AD-003.
Vikunja : tache T21 phase 2 marquee done. Sprint 2 (10/10) desormais complet.
Git : commit unique MO-AD-002 v1.0 : rotation krbtgt (double rotation Golden Ticket) pousse sur origin/main.
Impact securite : attaque Golden Ticket neutralisee. Le compte krbtgt etait la vulnerabilite la plus ancienne de l'infrastructure (1 404 jours d'inaction au 14/04), et la plus severe (PingCastle A-Krbtgt #37). Sa double rotation cloture le Sprint 2 de la Phase 1 (rotation des credentials critiques). Prochaine rotation planifiee automatiquement pour 2026-10-14 (6 mois, cible ANSSI).
Prochaines etapes : enclencher Sprint 3 (25 taches restantes, durcissement AD et reseau), activer T14 ProxMox nominatifs (15 min, validee Manu), programmer rotation OPNsense 2 des que le firewall HA est reactive.
Contexte : Apres la session T21 phase 2 et la creation de MO-AD-002, audit de coherence des MOs existants et formalisation du traitement des items Vaultwarden residuels (4 items Colombo66 bloques par injoignabilite ou divergence).
| Heure | Domaine | Action | Statut |
|---|---|---|---|
| 19:00 | Documentation | MAJ MO-AD-005 v1.1 (nuance RPC 110/5722 false-positive + Voir aussi) | ✓ Fait |
| 19:05 | Documentation | MAJ MO-AD-006 v1.3 (renvois MO-AD-002 rollback DSRM + MO-AD-008 sec.5.5 nas.cred + Voir aussi) | ✓ Fait |
| 19:10 | Documentation | MAJ MO-AD-007 v1.2 (sec.4.6 audit krbtgt seuils 90/180 jours + capture PowerShell + grille Comptes critiques) | ✓ Fait |
| 19:25 | Documentation | NOUVEAU MO-SEC-003 v1.0 (14 pages, Investigation items Vault bloques/divergents) | ✓ Publie |
| 19:30 | Tooling | scripts/render_terminal_capture.py (Python PIL) — utilitaire de captures pseudo-terminal | ✓ Fait |
Renumerotation : Suricata initialement prevu en MO-SEC-003 devient MO-SEC-004 (le code SEC-003 est reattribue aux items Vault).
Renvois croises : MO-AD-005/006/007 referencent maintenant MO-AD-002 ; MO-SEC-003 boucle la chaine MO-AD-008 -> traitement residus -> notes Vaultwarden datees [BLOQUE/DIVERGENCE/RESOLU]. La coherence inter-MOs post-rotation est complete.
Compteur global : 33 -> 34 MOs publies (394 -> ~426 pages).
Contexte : Session sur site (reseau BTS SIO directement). Objectif : rotation des MDP compromis (Colombo66, toto) identifies par l'audit password spray (#115). Pre-checks OK (replication AD, backup SystemState 12/04 present, politique MDP deja durcie a MinLen=10).
| Heure | Domaine | Action | Ref audit | Statut |
|---|---|---|---|---|
| 12:40 | AD | T00 — Pre-checks (replication, services, FSMO, krbtgt) | — | ✓ OK |
| 12:50 | Firewall | T18 — Rotation MDP OPNsense 1 (via UI HTTP) | F-SEC-006, R-023 | ✓ Fait |
| 12:58 | NAS | T19 — Rotation MDP NAS QNAP Scotty (via Playwright) | F-SUP-005, R-023 | ✓ Fait |
| 12:54 | AD | T17 — Rotation MDP Administrateur (DC1 + DC2) | F-AD-003, R-023 | ✓ Fait |
| 13:01 | AD | T20 — 5 comptes « toto » (2 change, 3 disable) | F-AD-003, R-011 | ✓ Fait |
| 13:01 | AD | T26 — 2 comptes compromis (fog, eval) | F-AD-003, R-015 | ✓ Fait |
| 13:02 | AD | T21 phase 1 — Rotation krbtgt (1ere passe) | F-AD-009, R-015 | ✓ Phase 1 |
T18 — OPNsense 1 : Rotation effectuee via POST /system_usermanager_passwordmg.php apres login HTTP. Nouveau MDP 24 caracteres genere cryptographiquement (python secrets). Login NEW valide (redirect dashboard), login OLD rejete. Vaultwarden item OPNsense 1 mis a jour. OPNsense 2 (10.0.112.101) injoignable (no route to host / port 443 timeout) — rotation reportee quand le firewall HA sera reactive.
T19 — NAS QNAP Scotty : L'API REST authLogin.cgi fonctionne mais les endpoints de changement MDP (privRequest.cgi, userConfig.cgi) sont ferrajes silencieusement sur QTS 4.2.6 EOL. Passage par Playwright (headless Chromium) : login + ouverture Panneau de configuration ExtJS + clic sur icone « Changer mot de passe » de la ligne admin + remplissage dialog 3 champs + clic Appliquer. Logout automatique apres changement, nouveau MDP valide, ancien colombo66 rejete. Vaultwarden item Scotty — NAS QNAP TS-439 mis a jour. Fichier C:Backups-AD as.cred mis a jour sur DC1 (ACL restrictive SYSTEM + Administrators) pour que le script T43 de backup AD continue a atteindre le NAS.
T17 — Administrateur AD : Set-ADAccountPassword -Identity Administrateur via WinRM DC1. Ancien MDP inchange depuis le 09/11/2022 (1252 jours !). Nouveau MDP 24 caracteres. Replication validee sur les 2 DCs (PasswordLastSet = 2026-04-14 12:54:01 sur Srv2022 et Srv2022Phy). WinRM teste et fonctionnel avec nouveau MDP. Vaultwarden items DC1 et DC2 mis a jour (etrange : l'ancien MDP Vaultwarden etait hafubv66 8 chars, pas Colombo66 — divergence documentee par cette rotation).
T20 — 5 comptes « toto » : Traitement differencie valide par session audit. Section A (comptes actifs, forcer changement MDP) : clegrand et a.verrier → ChangePasswordAtLogon=True. Sur a.verrier, desactivation prealable de PasswordNeverExpires. Section B (comptes formation OPNsense 2026 terminee, derniers logons decembre 2025) : jpv, aj, lg → Disable-ADAccount. Refs : CIS Control 5.2 (Disable dormant accounts).
T26 — Comptes compromis (hors toto et Administrateur) : fog (compte service FOG Project, MDP password) et eval (compte evaluation, MDP = nom du compte). Desactivation PasswordNeverExpires puis ChangePasswordAtLogon=True. e.eval deja desactive, non traite.
T21 — Rotation krbtgt phase 1 : Compte krbtgt jamais tourne depuis le 06/09/2022 (1404 jours !). PingCastle A-Krbtgt #37 resolu. Generation MDP aleatoire 32 caracteres ASCII 33-126, Set-ADAccountPassword -Reset. Replication validee (PasswordLastSet = 2026-04-14 13:02:38 sur les 2 DCs). Phase 2 a executer apres 2026-04-15 01:02 (12h minimum requis par Microsoft pour eviter invalidation des tickets Kerberos actifs).
Vaultwarden — nettoyage : Item Zabbix web ancien (avec MDP Colombo66, non nettoye apres T106 du 13/04) marque obsolete (MDP vide + note). Un des 2 doublons Zabbix Admin supprime.
Points en attente :
Impact securite : 7 comptes compromis (password spray #115) desormais inaccessibles avec leurs anciens MDP. MDP root des infrastructures critiques (AD, OPNsense, NAS) tous rotates. Golden Ticket mitigation en cours (krbtgt phase 1 fait, phase 2 demain).
Sanitisation Git : git filter-repo --replace-text sur l'historique entier (78 commits reecrits) pour eliminer toute trace en clair des MDP compromis (Colombo66, colombo66, hafubv66 -> placeholders). Force-push origin/main. Backup local conserve dans ~/Bureau/UAM91B_Memoire.backup-20260414/.
Documentation : 3 MOs publies / mis a jour
| MO | Version | Pages | Detail |
|---|---|---|---|
| MO-AD-006 | v1.2 (etait v1.1) | 23 (+4) | Nouvelle section 4.6 : gestion du fichier nas.cred (creation avec ACL SYSTEM+Administrators, procedure de mise a jour post-rotation MDP NAS, test de validation). Correction de l'avertissement section 4.3 (info obsolete sur le stockage du MDP dans le script PowerShell). |
| MO-AD-007 | v1.1 (etait v1.0) | 12 (+2) | Nouvelle etape 4.3 bis : traitement des comptes detectes compromis (forcer changement MDP / desactiver). Avertissement explicite sur l'interaction PasswordNeverExpires / ChangePasswordAtLogon. Note historique de l'audit du 14/04. |
| MO-AD-008 | v1.0 NOUVEAU | 16 | Procedure complete de rotation periodique des MDP critiques (AD, OPNsense, NAS QNAP, Zabbix). Politique de generation, prerequis, etapes detaillees pour chaque systeme (incluant Playwright pour QTS 4.2.6 EOL et anti-CSRF dynamique OPNsense), grille de verification, rollback console physique, depannage. Fait reference au MO-AD-002 (krbtgt) pour la rotation specifique du compte de service Kerberos. |
Compteur global : 29 -> 32 MOs publies (358 -> 380 pages).
Wiki.js synchronise : pages 371 (MO-AD-006), 375 (MO-AD-007) mises a jour ; page 379 (MO-AD-008) creee. Index procedures (351), home (357), phases (358), indicateurs (353), architecture (16), phase-1 (354), phase-4 (7) : compteurs de MOs et listes mis a jour. Sidebar nav : ajout des entrees MO-AD-008, MO-PLT-019, MO-PLT-020 (precedemment manquantes).
Vikunja : tache #181 "MO-AD-008 publie" creee en bucket Termine.
Git : 4 commits propres pousses sur origin/main (9df67ff MO-AD-007 v1.1, 01996ff MO-AD-006 v1.2, b6aa899 MO-AD-008 v1.0). Plus le force-push de sanitisation.
$VhdSizeGB = 40)*.docker.bts.sio cree sur DC1 pointant vers 10.0.112.20ads.google.com bloque en 0.0.0.0unhealthy depuis 336 checks consecutifsping non active dans traefik.yml (healthcheck curl sur /ping renvoyait 404)ping: {} dans la configuration statique, redemarrage du conteneurhealthy immediatementauth.docker.bts.sio via Traefik (certificat HTTPS automatique)bts.sio vers DC1 (10.0.112.11)nasuser (residuel apres retrait de Domain Admins le 31/03)docker image prune sur CT 200 : 113 Mo recuperes (images orphelines)| Metrique | Avant | Apres |
|---|---|---|
| Conteneurs Docker | 13 | 17 (+4 Authentik) |
| Services *.docker.bts.sio | 7 | 8 (+auth) |
| Domaines PiHole bloques | 0 | 593 310 |
| Utilisateurs SSO | 0 | 4 |
Colombo66 remplace par un mot de passe fort (stocke dans Vaultwarden)Contexte : Session a distance. Apres une revue de securite preventive, sanitisation des fichiers contenant le mot de passe NAS en clair, puis push des livrables vers Gitea.
Trois fichiers contenaient des credentials NAS en clair (mot de passe <MDP_NAS>) avant le commit :
| Fichier | Lignes | Action |
|---|---|---|
MO-AD-006/main.tex |
232, 266, 408 | Remplacement par placeholder MOT_DE_PASSE, recompilation du PDF |
T43_backup_systemstate_auto.ps1 |
21, 30-31 | Lecture du mot de passe depuis fichier ACL'e `C:Backups-AD |
| as.cred` (hors depot) | ||
capture_screenshots.py (x2) |
22 | Ajout au .gitignore (outils de developpement local) |
Le PDF MO-AD-006 a ete regenere apres correction et verifie clean (pdftotext | grep <pattern_secret> retourne 0).
5 commits regroupes pousses vers origin/main (Gitea) :
| # | Commit | Contenu |
|---|---|---|
| 1 | c5236f2 |
Sprint 3 T43 : script automatise + config OPNsense post-MAJ 26.1.5 |
| 2 | 4f65c17 |
MO-AD-005 et MO-AD-006 (sante AD + backup SystemState) |
| 3 | 87d600a |
MO-NET-002 (MAJ firmware OPNsense via API) |
| 4 | 2324833 |
MO-PLT-016 (sauvegardes ProxMox vzdump) |
| 5 | 84eae35 |
Nettoyage depot memoire/proposition |
.gitignore : exclusion capture_screenshots.py et *.credContexte : Session sur site (RJ45 reseau BTS SIO). Objectif : finaliser T43 backup AD automatise et publier les modes operatoires en attente.
| Element | Detail |
|---|---|
| Probleme | DC1 ne peut pas acceder au partage NAS QNAP via SMB |
| Cause racine | NAS QNAP QTS 4.2.6 ne supporte pas Kerberos cote serveur SMB |
| Symptome | Erreur 58 lors de toute tentative de connexion depuis DC1 (controleur de domaine) |
| Solution | Forcer NTLM avec credentials explicites : net use /user:admin <mdp> |
| Protocole | SMB 2.0.2 / 2.1.0 negocie (pas SMB3, pas chiffrement) |