ADS pour Alternate Data Streams est une fonctionnalité du système de fichier NTFS qui permet d'associer plus d'un flux de données à un nom de fichier en jouant sur le format de ce dernier  : "Nom_De_Fichier:Nom_De_Flux_Particulier" (Ex : Fic.txt:Zone.Identifier).

Les flux de données alternatifs n'apparaissent pas dans Windows Explorer, et leur taille n'est pas comprise dans la taille du fichier qui les héberge. Seul le flux principal d'un fichier est conservé au moment de la copie sur un système de fichier de type FAT, de l'attachement à un courrier ou du téléchargement sur un site WEB. Ceci explique le fait que les ADS ne sont pas utilisés pour le stockage de données critiques.

Les flux de données alternatifs ont étés créés pour les 'ressources forks' dans le produit 'Service for Macintosh' (SFM). Depuis des virus ont utilisés les ADS pour cacher leur code, mais aussi des lecteurs multimédias pour stocker les formats des fichiers de données (container MPEG ou OGG). Plus récemment des données ADS ont aussi été ajoutées par Internet Explorer (mais aussi d'autres browser) pour marquer les fichiers provenant de sources incertaines (téléchargement), donc peu sures pour être exécutées localement.

Historiquement il est possible d'accéder aux flux alternatifs à travers les commandes dir, echo et more associés aux opérateurs de redirection > et < de l'interpréteur de comande CMD.EXE

Accès aux Alternate Data Stream avec CMD.EXE :

Détecter la présence d'ADS avec la commande dir :

C:\Temp\ADSTest>dir /r
 Le volume dans le lecteur C n'a pas de nom.
 Le numéro de série du volume est 96B0-0597

 Répertoire de C:\Temp\ADSTest

09/05/2012  09:09              .
09/05/2012  09:09              ..
07/05/2012  09:25           495 616 SetupSlxWOL.msi
                                 26 SetupSlxWOL.msi:Zone.Identifier:$DATA
               1 fichier(s)          495 616 octets
               2 Rép(s)  40 051 462 144 octets libres

Visualiser les données d'un flux alternatif avec la commande more et l'opérateur < :

C:\Temp\ADSTest>more < SetupSlxWOL.msi:Zone.Identifier
[ZoneTransfer]
ZoneId=3

Modifier les données d'un flux alternatif avec la commande echo et l'opérateur > :

C:\Temp\ADSTest>echo "">SetupSlxWOL.msi:Zone.Identifier

Les opérations précédentes ont conduit à la supression de l'information de zone

Outil en ligne de commande

 Il existe sur le site de Microsoft (Sysinternals) l'outil STREAM.EXE qui permet de rechercher et de supprimer de façon récursive les flux de données alternatifs. C'est un moyen efficace de débloquer par script des fichiers provenant d'une zone internet à laquelle on ne faisait pas confiance.

C:\Temp\ADSTest>streams

Streams v1.56 - Enumerate alternate NTFS data streams
Copyright (C) 1999-2007 Mark Russinovich
Sysinternals - www.sysinternals.com

usage: streams [-s] [-d] 
-s     Recurse subdirectories
-d     Delete streams

PowerShell 2.0

Aucune des applets de commande de base de PowerShell ne permet de manipuler en direct les flux de données alternatif. La raison est que ces derniers ne sont pas exposés par les classes de base du Framework .NET. Le script suivant exploite l'appel à l'interpréteur de commande CMD.EXE à travers PowerShell 2 pour positionner les lire les ADS. 

# AlternateDataStream.ps1

# Blocks de scripts appelant CMD.EXE
$scriptBlockSetStream = {cmd /C `"echo $($Args[0])`>$($Args[1]):$($Args[2])`"}
$scriptBlockGetStream = {cmd /C `"more `<$($Args[0]):$($Args[1])`"}

$streamName = "NativeFilePath"
$File = "C:\Temp\ADSTest\toto.txt"
$streamContent = Split-Path -Path $File -Parent

# Positionnement d'un Alternate Data Stream
Invoke-Command -ScriptBlock $scriptBlockSetStream -ArgumentList $streamContent,$File,$streamName
# Récupération d'un Alternate Data Stream
$res = Invoke-Command -ScriptBlock $scriptBlockGetStream -ArgumentList $File,$streamName
$res

Il est possible d'atteindre l'API WIN32 CreateFile qui permet de manipuler les ADS à travers la couche 'interop' du Framework .NET.   

PowerShell 3

En PowerShell 3 une série d'applet de commandes prennent en charge les flux de données alternatif

PS C:\> Get-Command -ParameterName Stream  -Module Microsoft.PowerShell.Management

Capability      Name                             ModuleName
----------      ----                             ----------
Cmdlet          Add-Content                      Microsoft.PowerShell.Management
Cmdlet          Clear-Content                    Microsoft.PowerShell.Management
Cmdlet          Get-Content                      Microsoft.PowerShell.Management
Cmdlet          Get-Item                         Microsoft.PowerShell.Management
Cmdlet          Remove-Item                      Microsoft.PowerShell.Management
Cmdlet          Set-Content                      Microsoft.PowerShell.Management

Lister les flux d'un fichier

PS C:> Get-Item .\SetupSlxWOL.msi -Stream *


   FileName: C:\Temp\ADSTest\SetupSlxWOL.msi

Stream                   Length
------                   ------
:$DATA                   496640

Positionner un flux alternatif sur un fichier

PS C:\> Set-Content .\SetupSlxWOL.msi -Stream "Zone.Identifier" -Value "[ZoneTransfer]","ZoneId=3"
PS C:\> Get-Item .\SetupSlxWOL.msi -Stream *


   FileName: C:\Temp\ADSTest\SetupSlxWOL.msi

Stream                   Length
------                   ------
:$DATA                   496640
Zone.Identifier              26

Visualiser le contenu d'un flux alternatif d'un fichier

PS C:\> Get-Content .\SetupSlxWOL.msi -Stream "Zone.Identifier"
[ZoneTransfer]
ZoneId=3

Vider un flux alternatif d'un fichier

PS C:\> Clear-Content .\SetupSlxWOL.msi -Stream "Zone.Identifier"
PS C:\> Get-Item .\SetupSlxWOL.msi -Stream *


   FileName: C:\Temp\ADSTest\SetupSlxWOL.msi

Stream                   Length
------                   ------
:$DATA                   496640
Zone.Identifier               0

Supprimer un flux alternatif d'un fichier

PS C:\> Remove-Item .\SetupSlxWOL.msi -Stream "Zone.Identifier"
PS C:\> Get-Item .\SetupSlxWOL.msi -Stream *


   FileName: C:\Temp\ADSTest\SetupSlxWOL.msi

Stream                   Length
------                   ------
:$DATA                   496640

L'aide est un point fort de Microsoft PowerShell 1.0 et 2.0 avec notamment la disponibilité, en ligne de commande, des manuels de références et de programmation à travers l'applet de commande Get-Help.

D'ou la surprise quand on passe la première commande Get-Help dans la version 3.0 :

Associé au fait que le dossier $pshome\en-us ne contient aucun fichier d'aide :

En fait dans PowerShell 3.0 la documentation n'est pas installée avec le produit. La raison est que Microsoft à souhaité mettre en place le moyen de conserver une documentation à jour.

Pour cela, comme dans les versions précédentes, l'utilisateur peut utiliser le paramètre -Online de l'applet de commande Get-Help. Mais dans PowerShell 3.0 l'utilisateur peut en plus utiliser les nouvelles applets de commande Update-Help et Save-Help pour charger l'aide depuis Internet (par défaut) ou un disque local et la sauvegarder sur un disque local.

Remarque : J'ai installée 'Windows Management Framework 3.0 Beta' en version anglaise, sur un système Windows Seven anglais dont la culture courante est le français (histoire d'avoir le bon clavier). Afin de télécharger la documentation anglaise (la seule disponible à ce jour) il faut ajouter le paramètre -UICulture en-US. L'option -Force permet de forcer le rechargement de la documentation.

Les commandes suivantes permettent de télécharger l'aide depuis internet, de la sauvegarder sur un disque réseau puis ensuite de la télécharger depuis ce disque réseau. Cela illustre la possibilité de mettre la documentation à jour, mais aussi de la tenir à disposition pour des utilisateurs du réseau local qui n'auraient pas directement acces à Internet.

L'aide est sauvegardée sous la forme de fichiers .Cab et .XML.

Après la mise à jour de l'aide il est enfin possible de consulter l'aide en ligne de commande ansi que les fichier About_* dont about_Windows_PowerShell_3.0.

 Outre l'aide Internet une aide graphique sur le poste local est intégrée à PowerShell 3.0 à travers l'applet de commande Show-Command. Cette CmdLet est le pendant graphique de l'applet de commande Get-Command. Utilisée pour une applet de commande elle permet :

1. De constituer une ligne de commande à partir d'un formulaire
1. Pour l'exécuter directement
2. Pour la copier dans le presse papier
2. De discerner les jeux paramètres de chaque "ParameterSet"
3. De discerner les paramètres communs

L'applet de commande Show-Command peut-être appelée seule, elle permet alors de découvrir la totalité des Cmdlets et des fonctions accessibles au travers des modules disponibles :

Vers le téléchargement des fichiers.

Start-Demo est un script PowerShell qui permet de démontrer l'usage de la ligne de commande PowerShell en se concentrant sur les explications et non sur la syntaxe. Une des premières versions que j'ai trouvé était celle de Jeffrey Snover publié en 2007 dans son blog MSDN. Je suis parti de la version modifiée par Joel 'Jaykul' Bennett quelques mois plus tard pour la traduire en français et corriger deux trois petites choses.

Les commandes constituant la démonstration sont à saisir dans un fichier texte qui alterne des lignes commençant par le caractère #, ce seront les lignes de commentaire et des lignes de commandes PowerShell comme ceci :

Le fichier est ensuite soumis au script :

Ce qui donne, lorsque le démonstrateur à validé chacune des commades :

 L'utilisateur dispose de plusieurs touches lui permettant d'interagir avec le script de démonstration.

Vers le téléchargement des fichiers.

La boite de dialogue Directory Object Picker permet à un utilisateur de choisir un ou plusieurs objets de type utilisateur, groupe ou ordinateur dans un domaine ou sur un ordinateur en groupe de travail. Un article du MSDN explique comment mettre en œuvre cet objet en C++. J'ai trouvé sur Codes-Sources une adaptation de l'exemple Microsoft en .NET. J'ai de mon coté adapté cet exemple pour fabriquer un assembly qui puisse être aisément utilisé en PowerShell et notament ramener des attributs pour les objets de l'annuaire.

• Le premier exemple illustre l'usage local, sur un poste workgroup.

Le script suivant charge l'assembly DirectoryObjectPicker.dll et demande l'affichage de la boite de dialogue de recherche qui permet de sélectionner des objets dans la base de compte locale. la variable  $res contient l'objet ou la liste d'objets désirés.

# Obj-Add-Type-ADObjectPicker.PS1
Clear-Host

Add-Type -Path "C:\silogix\DirectoryObjectPicker.dll"

$ADObjectPicker = New-Object  DirectoryObjectPicker.Picker 

# Exemple utilisant les valeurs par défaut
$Res = $ADObjectPicker.ShowDialog()

$Res

Affiche (après séléction d'un utilisateur) :

Ce qui donne comme résultat pour l'affichage de la variable $res :

• Le second exemple illustre un usage sur un poste domaine.

Le script suivant charge l'assembly DirectoryObjectPicker.dll et demande l'affichage de la boite de dialogue de recherche qui permet de sélectionner des objets dans l'annuaire. Il est possible de préciser la liste des attributs que l'on souhaite retrouver pour chaque objet sélectionné. La variable $res contient l'objet ou la liste des objets désirés avec leurs attributs.

# Obj-Add-Type-ADObjectPicker.PS1
Clear-Host

Add-Type -Path "C:\temp\DirectoryObjectPicker.dll"

$ADObjectPicker = New-Object  DirectoryObjectPicker.Picker 

# Exemple utilisant les valeurs par défaut
$attributes = "samAccountName","sn", "distinguishedName", "givenName"
$Res = $ADObjectPicker.ShowDialog($true, "WM2008R2ENT", $attributes)

$Res
write-host "------------------------------------------"
$Res | select -Property RDN -ExpandProperty htAttributes 

Affiche :

Ce qui donne comme résultat pour l'affichage de la variable $res :

Comment tester la nouvelle version de PowerShell ?

• Il est possible d'installer la 'Windows Developer Preview de Windows 8'. On y retrouve PowerShell V3.

• Si on dispose d'un poste Windows Seven SP1 ou Windows Server 2008 R2 SP1, en version anglaise, il est possible d'installer 'Windows Management Framework 3.0 Community Technology Preview (CTP) #1', qui installe la version 3 de Powershell ; à condition d'avoir le Framework 4.0 d'installé.

A première vue, Quoi de neuf ?

• PowerShell V3 s'appuie sur le Framework 4.0. Rien de surprenant, certains utilisateurs de PowerShell V2 utilisaient déjà les caractéristique de C# 4.0 (voir Exécution de PowerShell V2.0 sur un Framework .NET 4.0). Cependant s'il en est de même pour la version finale, cela risque de retarder les mises à jour à production, ou il faudrait à la fois installer l'update de PowerShell (une quinzaine de mégas) et le Framework 4.0 beaucoup plus conséquent.
• Même si le système des Snapins est conservé pour compatibilité ascendante, les applets de commandes (Cmdlets) sont maintenant toutes fournies par des modules.
• Les modules qui devaient êtres explicitement chargés dans la version 2 (ou ils sont apparus), sont maintenant chargés au premier appel d'une applet de commande qui les composes. On peut maintenant parler de modules à chargement dynamique ou de chargement de modules à l'appel des CmdLets (Load On Call).
• Toujours plus de CmdLet : 376 dans PowerShell V3 contre 236 en PowerShell V2 et 129 en PowerShell V1, mais aussi des changements dans les Alias, les fonction et les paramètres des Cmdlets existantes.

Officiellement :

1. Orientation Flux de Travail (Workflow) : Utilisation de Windows Workflow Foundation en ligne de commande.
2. Des sessions robustes capables de remonter automatiquement en cas de coupures réseau, mais aussi d'arrêter le poste et de reprendre une session depuis un autre poste.
3. Ordonnanceur de jobs, pour les exécuter régulièrement ou en réponse à un évènement.
4. Délégation d'administration, pour que des utilisateurs avec des doits restreins puissent effectuer des tâches critiques.
5. Simplification de la syntaxe pour la rendre plus proche du langage naturel.
6. Amélioration de la découverte des applets de commande et chargement automatique des modules.
7. Une applet de commande Show-Command et un Add-ON dans ISE qui permettent de retrouver rapidement la bonne Cmdlet avec les bons paramètres.

J'espère bien creuser tout cela dans de prochains posts.

Heureusement, il est encore possible de trouver la dernière version de PowerGUI qui fonctionne sous PowerShell V1.0, il sagit de PowerGUI.1.9.6.1027. Vous trouverez ci-dessous la version PowerGUI.1.9.6.1027-Bis dans laquelle la condition de lancement sur la version d'Internet Explorer à été retirée, cela empêchait d'installer le produit dans certaines configuration de Windows Server 2003.

Pour modifier ce nom “http://tempuri.org” vous devez procéder comme suit :

1 – Dans le contrat de service, définissez la propriété Namespace en tant qu’attribut du constructeur de l’objet ServiceContrat

[ServiceContract(Namespace = "http://monservice.silogix.fr")]
public interface IMyService

2 – Dans la classe de mise en oeuvre du service, créer un attribut “ServiceBehavior” avec la propriété “Namespace”

[ServiceBehavior(Namespace = "http://monservice.silogix.fr")]
class MyService : IMyService

3 – dans tous les bindings, définissez la propriété "”bindingNamespace”

<endpoint binding="basicHttpBinding" bindingNamespace=http://monservice.silogix.fr....

Une fois ces 3 modifications faites, vous aurez un service avec un Namespace XML propre, c’est à dire définit à ce que vous souhaitez.

- Chic

<% @ webhandler language="C#" class="exempleHandler" %>

public class exempleHandler: IHttpHandler, IReadOnlySessionState
{
public bool IsReusable
{
get
{
return true;
}
}

public void ProcessRequest(HttpContext context)
{
// accès aux variables de session via context.Session

}
}

- Chic

Vers le téléchargement des scripts.

Le principe consiste à chiffre le mot de passe ou la chaine de connexion sur le disque.

L'ordinateur en tant qu'utilisateur.

Les deux scripts qui suivent utilisent l'assembly de sécurité du Framework .NET. pour chiffrer le secret. Une particularité intéressante, pour les machines de type serveur, est qu'il est possible de protégé le secret par l'identité de la machine. Je part du principe que toute personne ayant accès à la machine (qui peut exécuter du code sur la machine) peut avoir accès au mot de passe.

Remarque : Il est a noter que le tableau d'entier issue du chiffrement est ensuite codé en base 64 ce qui assure son intégrité lors de transfert à travers des systèmes hétérogènes ou lors d'ouverture du fichier contenant le secret chiffré par des éditeurs peu scrupuleux. Cela rend le secret chiffré éditable.

# Assembly du Framework .NET nécessaire
Add-Type -assembly System.Security

# Chaine à chiffrer
$passwordASCII = Read-Host -Prompt "Entrer le mot de passe"

# Passage en tableau d'entier
$enc = [system.text.encoding]::Unicode
$clearPWD_ByteArray = $enc.GetBytes( $passwordASCII.tochararray())

# chiffrememnt
$secLevel = [System.Security.Cryptography.DataProtectionScope]::LocalMachine
$bakCryptedPWD_ByteArray = [System.Security.Cryptography.ProtectedData]::Protect($clearPWD_ByteArray, $null, $secLevel)

# Passage en Base 64 et stockage
$B64PWD_ByteArray = [Convert]::ToBase64String($bakCryptedPWD_ByteArray)
Set-Content -LiteralPath c:\Temp\pass.txt -Value $B64PWD_ByteArray

Attention : J'ai pris soin d'utiliser unicode comme mécanisme de codage au passage de la chaine de caractère au tableau d'entiers et inversement. Cela m'assure de restituer des éventuels caractères spéciaux (caractères accentués).

# Assembky du Framework .NET nécessaire
Add-Type -assembly System.Security

# Récupération depuis la Base 64 et stockage
$resCryptedPWD_ByteArray = [Convert]::FromBase64String((Get-Content -LiteralPath c:\Temp\pass.txt))

# Déchiffrement
$secLevel = [System.Security.Cryptography.DataProtectionScope]::LocalMachine
$clearPWD_ByteArray = [System.Security.Cryptography.ProtectedData]::Unprotect( $resCryptedPWD_ByteArray, $null, $secLevel )

# Récupération du tableau d'entier
$enc = [system.text.encoding]::Unicode
$enc.GetString($clearPWD_ByteArray)

Différentes Portées.

En fonction de la porté de protection on peut assurer un chiffrment pour une personne ou un ordinateur

• CurrentUser : Les données protégées sont associées à l'utilisateur en cours. Seuls les threads exécutés dans le contexte utilisateur en cours peuvent ôter la protection des données
• LocalMachine : Les données protégées sont associées au contexte de l'ordinateur. Tout processus qui s'exécute sur l'ordinateur peut ôter la protection des données. Cette valeur d'énumération est généralement utilisée dans les applications spécifiques au serveur qui s'exécutent sur un serveur où les utilisateurs non fiables n'ont pas accès.

Set-Content -Path c:\Temp\pass.txt -Value "le texte à Protéger" -Force

# Chiffrement du fichier (si EFS est supporté)
$file = Get-Item c:\Temp\pass.txt
$file.Encrypt()

Read-Host -Prompt "Vérifiez le fichier apparait en vert" 

# Il est lisible par l'utilisateur uniquement
Get-Content c:\Temp\pass.txt 

Read-Host -Prompt "Le chiffrement va être supprimé"

# Supprime le chiffrement
$file = Get-Item c:\Temp\pass.txt
$file.Decrypt()

 1) Comment l'activer et le désactiver 

1. Cliquez sur le bouton Démarrer, tapez gpedit.msc dans la zone de recherche, puis appuyez sur la touche Entrée.  Si vous êtes invité à fournir un mot de passe administrateur ou une confirmation, fournissez le mot de passe ou la confirmation.

2. Sous Configuration ordinateur, cliquez sur la flèche en regard de Modèles d’administration, puis cliquez sur la flèche en regard de Système.

3. Cliquez sur le dossier Ouverture de session.

4. Double-cliquez sur Masquer les points d’entrée pour le changement rapide d’utilisateur, cliquez sur Activé, puis sur OK.

 2) Le point de vue du développeur WIN32

Un application peut avoir besoin de prendre en charge le changement rapide d'utilisateur. un article de Microsoft explique comment il faut faire (il existe même en français).

3) Le point de vue de l'administrateur 

En tant qu'administrateur on peut se demander comment surveiller le changement rapide d'utilisateur. J'ai trouvée la réponse dans un article qui liste un ensemble d'évènements intéressants pour l'administrateur. Voici les deux évènements en question :

Event ID 4778 : Un utilisateur a accédé à sa session utilisant le changement d'utilisateur rapide.
Event ID 4779 : Un utilisateur a quitté sa session en utilisant le changement d'utilisateur rapide.

Seulement, ces évènements n'apparraissent dans le journal de sécurité que si la stratégie d'audit est activée pour les évènements d'audit de connexion. Comme le montre l'image suivante :

Des lors, à chaque usage du changement rapide d'utilisateur le filtrage des évènements 4778 et 4779 donne quelque chose qui ressemble à cela :

Il est alors possible de récupérer simplement ces évènement en PowerShell.

clear-Host
$UserProperty = @{n="User";e={$_.ReplacementStrings[0]}}
$TypeProperty = @{n="Action";e={switch($_.EventID) {4778 {"SwitchOn"} 4779{"SwitchOff"}}}}
$TimeProeprty = @{n="Time";e={$_.TimeGenerated}}
Get-EventLog -LogName Security -Source Microsoft-Windows-security-auditing | where {$_.EventID -eq 4778 -or $_.EventID -eq 4779} | select $UserProperty,$TypeProperty,$TimeProeprty

4) Le point de vue du scripteur PowerShell (programmeur .NET)

En .NET il est possible de s'abonner aux évènements système.

PS> $sysevent = [microsoft.win32.systemevents]
PS> $sysevent

IsPublic IsSerial Name                                     BaseType
-------- -------- ----                                     --------
True     False    SystemEvents                             System.Object


PS> Register-ObjectEvent -InputObject $sysevent -EventName "SessionSwitch" -Action {[console]::Beep()}

Id              Name            State      HasMoreData     Location             Command
--              ----            -----      -----------     --------             -------
1               fa48b95f-299... NotStarted False                                [console]::Beep()

 Il est possibe de trouver la liste complète des évènements sur le site de Micosoft.

DisplaySettingsChanged  Occurs when the user changes the display settings. 
DisplaySettingsChanging Occurs when the display settings are changing. 
EventsThreadShutdown    Occurs before the thread that listens for system events is terminated. 
InstalledFontsChanged   Occurs when the user adds fonts to or removes fonts from the system. 
LowMemory               Occurs when the system is running out of available RAM. 
PaletteChanged          Occurs when the user switches to an application that uses a different palette. 
PowerModeChanged        Occurs when the user suspends or resumes the system. 
SessionEnded            Occurs when the user is logging off or shutting down the system. 
SessionEnding           Occurs when the user is trying to log off or shut down the system. 
SessionSwitch           Occurs when the currently logged-in user has changed. 
TimeChanged             Occurs when the user changes the time on the system clock. 
TimerElapsed            Occurs when a windows timer interval has expired. 
UserPreferenceChanged   Occurs when a user preference has changed. 
UserPreferenceChanging  Occurs when a user preference is changing. 

Pour le désenregistrement c'est :

PS> Unregister-Event -SubscriptionId 1