Les vignettes ou miniatures de Windows 10 ou Windows 11 sont lentes à s’afficher ?
Windows affiche des vignettes d’images et de vidéos lorsque nous ouvrons un dossier. L’aperçu des vignettes des images nous aide à visualiser les images sans les ouvrir, ce qui nous permet de trouver l’image que nous recherchons sans l’ouvrir. Parfois, l’aperçu des vignettes se charge lentement. Dans ce guide, nous allons vous montrer ce que vous pouvez faire si les vignettes de Windows sont lentes à charger.
Comment accélérer l’affichage des miniatures d’images sur Windows
Vider le cache des vignettes et les autres fichiers temporaires
Les fichiers Windows Thumbnail cache ou Thumbs.db sont des fichiers de données cachés dans le système d’exploitation Windows, qui contiennent de petites images, affichées lorsque vous visualisez un dossier en mode “vignettes”, par opposition à l’affichage par tuiles, icônes, listes ou détails. Windows conserve une copie de toutes les vignettes de vos images, vidéos et documents afin de les afficher rapidement lorsque vous ouvrez un dossier.
La première étape consiste à supprimer le cache des vignettes sur votre système. Windows conserve une copie de toutes les vignettes de vos photos, vidéos et documents afin qu’elles s’affichent rapidement lorsque vous ouvrez un dossier. Si vous supprimez ces vignettes, Windows les recréera si nécessaire.
Faites un clic droit sur le menu Démarrer puis Paramètres. Pour aller plus vite, vous pouvez aussi utiliser le raccourci clavier
+
I
Allez dans Système > Stockage
Cliquez sur Fichiers temporaires
Assures-vous que Miniatures est coché, puis cliquez sur Supprimer les fichiers
L’étape ci-dessus supprimera les vignettes de votre système. Si vous souhaitez supprimer d’autres fichiers temporaires, vous pouvez également cocher ces cases.
Vous pouvez également utiliser ces commandes dans un CMD élevé pour supprimer et vider le cache des vignettes :
Sur votre clavier, appuyez sur les touches + R
Puis dans le champs exécuter, saisissez cmd et OK
Puis copiez/collez les commandes suivantes :
taskkill /IM explorer.exe /F
cd /d %userprofile%\AppData\Local\Microsoft\Windows\Explorer
attrib -h
thumbcache_*.db
del thumbcache_*.db
start explorer
Passer à un SSD
L’affichage des miniatures des images nécessitent des accès disque. Lorsque les images sont stockées sur un vieux disques dur HDD, notamment en 5400 tr/min, cela risque de prendre du temps. La meilleure solution pour accélérer le chargement des miniatures est de stocker vos images sur un SSD, bien plus rapide qu’un HDD. Pour vous y aider, suivez ce guide : Pourquoi installer un SSD sur son PC
Notez que les performances de votre disque peuvent être atténué si ce dernier rencontre des problèmes matériels notamment si des secteurs défectueux sont présents. Vous pouvez vérifier cela en suivant ce guide : Vérifier l’état et la santé du disque dur/SSD
Accélérer la vitesse de chargement des vignettes via l’éditeur de registre
Assurez-vous que le dossier Thumbnail Cache est sélectionné dans la partie gauche. Double-cliquez sur l’entrée Autorun sur le côté droit et entrez 0 dans ses données de valeur
Cliquez sur OK pour enregistrer les modifications.
Fermez l’éditeur du registre et redémarrez votre ordinateur
La valeur par défaut est 3, vous pouvez remettre la valeur si cela pose des problèmes.
Microsoft a une petite surprise pour les utilisateurs de Windows 10. Alors que l’OS est bientôt en fin de vie, le géant de Redmond rouvre son canal bêta. Le but est de tester les nouvelles fonctionnalités IA Copilot que l’entreprise souhaite ajouter à cette version du système d’exploitation.
Si vous avez encore un vieux PC sous Windows Vista qui prend la poussière dans un coin, ne le jetez pas tout de suite ! En effet, grâce à Windows Vista Extended Kernel, vous allez pouvoir lui donner un coup de jeune et profiter des logiciels récents normalement incompatibles.
Développé par le créateur de Supermium, un navigateur Chromium optimisé pour les anciens Windows, cet outil d’optimisation système est une véritable cure de jouvence pour votre machine vintage. En mettant à jour les fichiers important de ce système sorti en 2007, notamment les DLL, il lui permet de faire tourner des applications récentes comme Firefox, OBS Studio ou encore Chromium.
L’avantage, c’est que vous pourrez conserver votre bonne vieille installation et vos habitudes. Et vous n’aurez pas besoin de formater ou de changer d’OS, mais juste d’installer cet add-on et le tour sera joué. Comme ça, votre vieille bécane sera parée pour surfer sur le web, sans galérer avec des certificats expirés ou des technologies obsolètes.
Bien sûr, on ne parle pas de performances de haut vol, hein… N’espérez pas faire tourner les derniers jeux AAA du moment ou faire du montage vidéo 4K. Mais pour une utilisation bureautique et multimédia de base, ça fera largement l’affaire. C’est toujours ça de pris !
Bien sûr, niveau sécurité, c’est pas forcement le pied, donc soyez quand même trèèèès prudent. Notez aussi qu’il existe d’autres solutions beaucoup plus pertinente pour upgrader un PC vieillissant, comme installer une distribution Linux légère. Mais si vous tenez à rester sous Windows et que vous avez un faible pour Vista, y’a cet outil.
Microsoft semble enfin prêt à abandonner le protocole d'authentification NTLM dans Windows et Windows Server. L'entreprise américaine estime que ce protocole est obsolète et que les développeurs doivent entamer une transition vers Kerberos. Voici ce qu'il faut savoir.
Le protocole NTLM est très utilisé par les différentes versions de Windows et Windows Server, et pour cause, il a été introduit en 1993 au sein de Windows NT et il est toujours très utilisé aujourd'hui. Néanmoins, ce n'est pas un secret : le protocole d'authentification NTLM est exploitable au sein différents scénarios d'attaques, notamment en environnement Active Directory, et il représente un véritable point faible dans le SI des organisations.
Microsoft a conscience de ces problèmes de sécurité et va abandonner progressivement le protocole NTLM au profit d'alternatives plus sécurisées, notamment Kerberos. "Toutes les versions de NTLM, y compris LANMAN, NTLMv1 et NTLMv2, ne font plus l'objet d'un développement actif et sont obsolètes.", peut-on lire sur le site de Microsoft.
Remarque : l'authentification NTLM est vulnérable à plusieurs attaques telles que "NTLM Relay" et "Pass-the-hash".
Après l'annonce récente de la fin de VBScript dans Windows, Microsoft semble bien décidé à faire du ménage dans ses systèmes d'exploitation pour en améliorer la sécurité.
Est-ce que Windows Server 2025 prendra toujours en charge NTLM ?
C'est peut-être une question que vous vous posez en lisant cet article. Elle est légitime puisqu'il n'est pas aussi simple de se séparer du protocole NTLM... Rassurez-vous, l'abandon de NTLM sera effectué en plusieurs étapes et Windows Server 2025 va supporter NTLM, tout comme la prochaine version majeure de Windows.
"L'utilisation de NTLM continuera à fonctionner dans la prochaine version de Windows Server et dans la prochaine version annuelle de Windows.", précise l'entreprise américaine. Malgré tout, il y a du changement.
Dans un autre article publié récemment au sujet de la sécurité de Windows 11, Microsoft évoque aussi la fin à venir de NTLM : "La dépréciation de NTLM a été une demande importante de notre communauté de sécurité, car elle renforcera l'authentification des utilisateurs, et la dépréciation est prévue pour la seconde moitié de 2024."
NTLM et Kerberos : le passage au mode "Negotiate"
Microsoft souhaite que l'authentification Kerberos soit prioritaire vis-à-vis de NTLM. Autrement dit, lorsqu'il n'y a pas le choix, notamment si le périphérique ou l'application source ne supporte pas NTLM.
Cela signifie qu'il ne doit plus y avoir d'appels en direct vers NTLM, mais des appels de type "Negotiate" afin que le protocole Kerberos soit utilisé s'il est disponible. Si ce n'est pas le cas, le NTLM est utilisé en guise de solution de replis. C'est le principe de l'authentication fallback. L'objectif étant de permettre aux entreprises d'effectuer une transition en douceur.
Ceci signifie également que les développeurs vont devoir adapter leurs applications, peut-être en s'intéressant à la fonction "AcquireCredentialsHandle" qui intègre plusieurs modes (NTLM, Negotiate, Kerberos, etc.).
Enfin, si vous souhaitez vous débarrasser de NTLM dans votre organisation et préparer ces futurs changements, vous pouvez consulter le tutoriel mentionné ci-dessous. La première phase d'audit vous permettra d'identifier les équipements et applications faisant encore usage du protocole NTLM.
OSDCloud is a free PowerShell framework for deploying Windows 10 and Windows 11. The tool provides simple methods for adding drivers and configuring settings in an image. After booting from a customized WinPE, either the OSDCloudGUI or an automated script initiates the installation.
Cet article a pour but de vous sensibiliser à l'importance de la vérification de l'intégrité des sources d'installation pour vos images ISO. Nous verrons également comment répondre à la question suivante : comment vérifier l'authenticité d'une image ISO ?
Nous allons parler d'un principe fondamental de la cybersécurité qui est la préservation de l'intégrité des sources. Que ce soit dans un contexte professionnel ou personnel, il est fréquent de rencontrer des sources historiques ou des versions obsolètes de logiciels, souvent sans un suivi approprié.
Il n'est pas rare de trouver des fichiers ISO de SQL Server ou de Windows téléchargés ou modifiés sans une référence adéquate au hash ou à la source de téléchargement correspondante.
Nous allons voir comment grâce à l'outil Check-ISO ou PowerShell et des sources fiables, qu'il sera possible de vérifier nos sources pour les images ISO de produits Microsoft.
II. Rappel sur l'intégrité des sources
A. Téléchargement de source Microsoft
Microsoft propose de télécharger les sources pour les particuliers et professionnels n'ayant pas d'abonnement à partir du centre de téléchargement disponible à l'adresse suivante : https://www.microsoft.com/fr-fr/download
Ce centre permet de télécharger les sources pour divers produits comme SQL Server, Windows Server, et Office. Malheureusement, seules les dernières versions mises à jour ou supportées sont disponibles. Pour Windows 11 où Microsoft propose la dernière version en encourageant à vérifier le hash une fois le téléchargement terminé.
Microsoft fourni un tableau des hash correspondant aux différentes langues disponibles.
Pour les entreprises, le même principe est proposé de partir du centre de gestion des licences en volume, le portail professionnel.
B. Problématique
Malgré les consignes de Microsoft, la charge de travail et le temps que cela requiert peuvent être importants et faire que la vérification de l'intégrité des sources n'est pas effectuée. Nous avons remarqué que régulièrement, tant dans les entreprises que chez les particuliers, ces actions ne sont pas respectées.
Peu de personnes téléchargent à partir du portail officiel ou gardent des traces de hash. D'autant plus que les prestataires infogérants n'ont souvent pas accès à ce dernier et utilisent parfois des sources partagées ou provenant d'autres endroits. Passer une après-midi à récupérer ou chercher les hash d'une version qui n'est plus supportée ou absente du portail n'est pas pratique...
Nous verrons ensemble comment apporter une réponse à cette problématique.
Remarque : le hash d'une image ISO sera identique entre deux fichiers, même s'il ne porte le même nom, mais que leur contenu est identique. Ainsi, nous pouvons vérifier l'authenticité d'une image à partir de son hash. Si elle est altérée, son hash sera modifié donc elle n'est plus authentique.
C. Risque de sécurité
Le grand risque réside dans les sources ISO modifiées par un tiers qui pourrait y injecter un malware ou un crack, pouvant endommager le système informatique.
L'image montre comment une source récupérée sur Internet non conforme ou à partir d'un partage manipulé par une personne malveillante, peut contenir un outil espion ou un dispositif capable de contourner la surveillance de sécurité.
Afin de remédier à cela, il est nécessaire de vérifier le hash de la source avant de l'installer. Nous allons voir comment effectuer cette vérification manuellement ou de manière automatisée avec un outil.
III. Vérifier l'intégrité d'une image ISO avec PowerShell
Il est possible d'obtenir le hash d'une image ISO ou d'un quelconque fichier à l'aide de PowerShell en utilisant la commande "Get-FileHash".
Voici un exemple pour vérifier l'intégrité du fichier "J:\ISO\WINDOWS\Windows\win_10.iso" :
Une fois le hash obtenu, vous devriez le comparer avec une base de données fiable. En cas d'absence du hash dans le centre de téléchargement Microsoft, il est possible d'utiliser le site suivant :
C'est un projet initié par des membres du staff de Microsoft et des MVP, intégrant les hash de toutes les distributions Microsoft officielles.
Le site contient une base de données riche, avec 380 téraoctets d'informations et d'images ISO, sous réserve de Microsoft. Il demeure ainsi l'une des sources les plus fiables à ce jour, recommandée sur plusieurs forums et blogs, y compris dans les Q&A de Microsoft.
Il suffit de coller le hash obtenu dans la barre de recherche, numérotée 1, située dans l'onglet "Recherche", puis d'appuyer sur Entrée.
Cette tâche peut s'avérer lente ou contraignante pour un grand nombre d'images ISO à vérifier, surtout pour les utilisateurs non avertis. De plus, le lien du site peut être amené à changer.
Pour répondre à ce besoin, l'outil Check-ISO a été développé.
IV. Le projet Check-ISO
Suite à plusieurs demandes des membres de la communauté IT-Connect et afin d'automatiser et de faciliter les actions précédentes, le projet Check-ISO a vu le jour. Cela permettra de gagner en temps et en maniabilité dans le processus de vérification d'intégrité. L'outil est open source, disponible en français et en anglais, et développé par Dakhama Mehdi.
Cet outil est essentiel pour toute personne effectuant fréquemment des installations, qu'il s'agisse de techniciens, d'administrateurs système ou même de responsables de la sécurité des systèmes d'information (RSSI). Ceci vous permet de vérifier si votre image ISO correspond bien à une image officielle de Microsoft, et à quelle version elle correspond.
A. Utilisation
Il n'y a rien de plus simple pour l'utilisation de l'outil ; il suffit de le lancer sous les différents formats et de sélectionner votre fichier ISO. Il est disponible au format exécutable, PS1 (script PowerShell) et dans le Microsoft Store.
Indiquez ensuite le chemin de la source Microsoft à vérifier.
Vous avez la possibilité de sélectionner l'algorithme de hachage à utiliser pour la vérification.
Cliquez ensuite sur "Vérifier ISO" et patientez jusqu'à ce que la vérification soit complète. Notez que le temps de calcul dépend de l'algorithme utilisé ainsi que de la taille de l'ISO.
Une fois la vérification terminée, le nom de la source sera listé en vert, si cette dernière est authentique. Dans le cas contraire, un message en rouge sera affiché indiquant que la source n'a pas été trouvée, et n'a pas pu être vérifiée.
B. Téléchargement
Check-ISO peut être obtenu de deux manières. Tout d'abord, en passant par le Microsoft Store intégré à Windows.
Entrez le nom "Check ISO" dans la barre de recherche et installez l'outil, cette méthode offre les avantages suivants :
Ne nécessite pas de droit admin
La source est vérifiée par l'équipe Microsoft
Cela garantira une mise à jour automatique des versions (pour régler les éventuels bugs)
La seconde méthode de téléchargement consiste à utiliser GitHub.
Copiez le code PowerShell disponible directement dans votre éditeur PowerShell ISE et enregistrez le projet. Vous avez également la possibilité de télécharger le code source au format ".ps1". La page du projet propose également une version portable de l'outil (.exe) signée pour en simplifier l'utilisation.
V. Conclusion
Désormais, vous êtes capable de vérifier l'authenticité d'une image d'un produit ou système d'exploitation Microsoft ! Vous n'avez plus d'excuses pour ne pas le faire ! La logique est la même pour d'autres images ISO ou fichiers, à condition de connaître le hash du fichier d'origine.
PowerShell est le nouveau shell de Windows qui permet aux administrateurs de passer toutes sortes de commandes sur Windows 10 et Windows 11. Il possède aussi des cmdlet pour gérer la base de registre Windows. Ainsi vous pouvez sans problème manipuler le registre Windows en PowerShell.
Grâce à ce tutoriel, vous allez comprendre comment créer, modifier, effacer des clés du registre Windows en PowerShell et bien plus.
Créer, modifier, effacer des clés du registre Windows en PowerShell
Afin de ne pas rencontrer des problèmes d’autorisations et permissions sous la forme de message d’accès refusé lors de la modification du registre Windows en Powershell, ouvrez ce dernier en administrateur. Pour cela :
Prenez l’habitude d’encadrer les clés du registre Windows avec des apostrophes car lorsqu’il y a un espace dedans, c’est obligatoire
Elle fonctionne avec les chemins HKLM, HCKU, etc
Lister une clé du registre Windows
Voici comment lister une clé du registre Windows en PowerShell. On utilise Get-Item avec le caractère * pour lister en récursif.
Get-Item -Path 'HKCU:\SOFTWARE\SysInternals\*'
Une autre méthode pour lister le contenu du registre Windows en PowerShell consiste à utiliser Get-childitem. Tout d’abord on se positionne sur la clé à lister avec Set-location :
Pour recherche une clé dans le registre Windows PowerShell, on utilise Get-childitem. Ici on recherche des valeurs Chrome dans HCKU (HKEY_CURRENT_USER) :
Docker Desktop provides a user-friendly graphical user interface (GUI) for developing, building, testing, and running containerized applications on Linux, Windows, and macOS. Docker Desktop 4.30 introduces an experimental phase to simplify the Windows Subsystem for Linux 2 (WSL 2) configuration by reducing the previously required two Docker Desktop WSL distributions (docker-desktop and docker-desktop-data) into one, aiming to improve startup time and simplify the codebase.
Une nouvelle API de Microsoft, le DirectSR, a pour but de simplifier l’intégration des différentes technologies d’upscaling. Celle-ci vient d’être lancée en version préliminaire et doit unifier sous une même interface le DLSS de NVIDIA, le FSR d’AMD et le XeSS d’Intel.
Les erreurs d’activation de Windows figurent parmi les problèmes les plus fréquents rencontrés par les utilisateurs. Ce problème est généralement lié au serveur d’activation de Windows, qui ne parvient pas à valider ou reconnaître la licence associée au compte numérique. Une erreur courante à laquelle les utilisateurs peuvent être confrontés : “Nous ne pouvons pas activer Windows sur cet appareil car nous ne pouvons pas nous connecter au serveur d’activation de votre organisation. Assurez-vous d’être connecté au réseau de votre organisation et réessayez. Si les problèmes d’activation persistent, contactez le service d’assistance de votre organisation. Code d’erreur 0x8007007B.”. Ce tutoriel fournit plusieurs solutions de dépannage afin de vous expliquer l’origine de ce problème et vous aider à résoudre cette erreur d’activation des produits Windows.
Nous ne pouvons pas activer Windows sur cet appareil car nous ne pouvons pas nous connecter au serveur de votre organisation
Le “serveur de votre organisation” dans le contexte de l’activation de Windows fait référence à un serveur de gestion de clés (KMS, Key Management Service) utilisé principalement par les grandes entreprises et les institutions pour activer en masse les copies de Windows sur leur réseau. Key Management Service (KMS) est une technologie d’activation de volume développée par Microsoft. Elle permet aux organisations d’activer les systèmes d’exploitation Windows et les produits Microsoft Office en interne, sans avoir besoin de contacter directement les serveurs d’activation de Microsoft pour chaque installation.
Lorsque vous voyez une erreur indiquant que Windows ne peut pas se connecter au serveur de votre organisation, cela signifie généralement que le système d’exploitation tente de contacter un serveur KMS d’entreprise pour l’activation, mais ne parvient pas à établir la connexion. Ce message d’erreur rencontré par un particulier peut se produire dans les cas suivants :
Vous tentez d’activer Windows illégalement à l’aide d’un utilitaire de crack tel que KMSPico / KMSAuto
Vous avez installé Windows Entreprise sur votre PC personnel et tenter d’activer avec une clé produit provenant d’une entreprise
Vous avez acheté une licence pas chère sur internet lié à des licences de volume. La référence à un serveur d’organisation signifie qu’il dispose d’une licence de volume qui n’est pas valable pour un utilisateur personnel et qui est souvent utilisée par un vendeur suspect pour activer Windows illégalement.
Comment résoudre le problème “Nous ne pouvons pas activer Windows sur cet appareil car nous ne pouvons pas nous connecter au serveur de votre organisation”
Enregistrer à nouveau la clé produit de Windows
Vous pouvez tenter à nouveau d’enregistrer la clé produit de Windows. Assurez-vous que vous disposez d’une connexion internet stable puis suivez ces étapes :
Sur votre clavier, appuyez sur les touches
+
R
Puis dans le champs exécuter, saisissez cmd et OK
Puis saisissez les commandes suivantes où #####-#####-#####-#####-##### est la clé produit
Si le message d’erreur à l’activation de Windows persiste, il est probable que votre clé produit ne soit pas valide.
Réparer le service d’activation
Ouvrez à nouveau une invite de commandes en administrateur
Copiez/collez les commandes suivantes :
net stop sppsvc
cd %windir%\ServiceProfiles\LocalService\AppData\Local\Microsoft\WSLicense
ren tokens.dat tokens.bar
net start sppsvc
cscript.exe %windir%\system32\slmgr.vbs /rilc
Puis redémarrez l’ordinateur et ré-enregistrer la clé produit Windows
Activer Windows par téléphone
Une autre solution est d’essayer d’activer Windows par téléphone car cela ne requiert aucune connexion au serveur d’activation.
Sur votre clavier, appuyez sur les touches + R
Puis saisissez la commande suivante :
slui.exe 4
Puis dans la liste, sélectionnez France (ou autre pays)
Ensuite cliquez sur Suivant
Téléphonez au centre d’activation de Microsoft avec le numéro indiqué gratuit ou pays
Puis indiquez l’ID d’installation (IID)
Puis saisissez le code retourné par le centre d’activation de Microsoft
Toujours impossible d’activer Windows ? Si vous avez acheté une licence pas chère sur internet, il est probable que celle-ci ne soit pas valide ou blacklistée par Microsoft. Contactez le vendeur pour lui demander une nouvelle clé produit. Si aucune réponse de sa part, il s’agit d’une arnaque.
Dans le cas d’un achat sur des plateformes telles qu’Amazon ou CDiscount, laissez un commentaire pour prévenir d’autres internautes. Tentez aussi de dénoncer le vendeur auprès de la plateforme.
After capturing an image from a reference installation, you can deploy it to as many computers as needed. Multiple methods are available for this task. A common approach involves booting the target PCs from WinPE using a USB drive or PXE, and then applying the image with DISM or PowerShell.
L’Auto SR, la technologie de mise à l'échelle de Microsoft, risque de décevoir. En plus d’exiger un PC Copilot+ alimenté par un Snapdragon X Elite, la liste des jeux compatibles semble assez restreinte. De plus, ces 12 jeux ne sont pas particulièrement récents, ce qui remet en question l’utilité même de cet outil.
Depuis Windows 10 et donc sur Windows 11, il est possible de monter un fichier ISO depuis l’Explorateur de fichiers. Malheureusement, dans certains cas, cela ne fonctionne pas. Le message d’erreur le plus courant est le suivant :
Impossible de monter le fichier Désolé, il y a eu un problème pour monter le fichier
Si vous rencontrez ces problèmes pour monter le fichier ISO, suivez les étapes de ce guide complet pour résoudre les problèmes d’accès au fichier ISO sur Windows.
Impossible de monter le fichier ISO sous Windows
Désactiver votre antivirus
Si votre antivirus détecte un fichier malveillant dans le fichier ISO, il va verrouiller ce dernier. A partir de là, Windows sera incapable de monter le fichier ISO. Pour vérifier cette hypothèse désactivez votre antivirus. En général, un clic droit sur l’icône depuis la zone de notification et désactiver la protection en temps réel ou désactiver l’agent de protection.
Pour désactiver la protection Windows Defender :
Ouvrez Sécurité en double-cliquant sur l’icône bouclier en bas à droite de l’écran, dans la zone de notification
Allez dans Protection contre les virus et les menaces
Sous Paramètres de protection contre les virus et les menaces, choisissez Gérer les paramètres,
Puis désactivez la case à cocher Protection en temps réel
Si le fichier ISO possède de mauvais attributs, cela peut être la source de problème pour accéder au contenu. Cela peut générer un message d’erreur d’accès refusé. Réinitialiser les attributs des fichiers ISO peut aider à corriger le problème.
Si vous rencontrez le message : Ce fichier provient d’un autre ordinateur et peut être bloqué pour protéger cet ordinateur. Débloquer le fichier comme ceci :
Faites un clic droit sur le fichier ISO
Puis Propriétés
En bas à droite, décochez l’option Débloquer
Copier le fichier ISO dans un autre emplacement
Dans certains cas, la solution la plus simple consiste à copier le fichier ISO à un autre endroit, puis à monter l’image. Si un fichier image ISO se trouve dans un dossier réseau partagé accessible par un chemin UNC, essayez de le copier sur votre ordinateur local.
Réinitialiser les paramètres du lecteur de CD/DVD dans le registre
Dans certains cas, les problèmes de montage des fichiers ISO dans Windows peuvent être dus à des paramètres incorrects pour le lecteur de CD/DVD (physique et virtuel). Vous pouvez réinitialiser les paramètres du périphérique CD dans le registre :
Dans ce tutoriel, nous allons évoquer l'installation et la configuration de Sysmon sur Windows par l'intermédiaire d'une stratégie de groupe (GPO), en environnement Active Directory. Ceci va nous permettre d'automatiser le déploiement de Sysmon et de gérer sa configuration de façon centralisée.
Outil gratuit présent dans la suite SysInternals de Microsoft, Sysmon est un outil très intéressant pour enrichir les journaux Windows et tracer les activités suspectes sur un poste de travail ou un serveur.
Pour en savoir plus sur son fonctionnement et son utilisation, consultez notre précédent article :
Pour appliquer une nouvelle configuration à Sysmon, nous devons utiliser un fichier de configuration au format XML. Ce fichier de configuration contient un ensemble de règles permettant d'indiquer à Sysmon quelles sont les actions qu'il doit surveiller et journaliser. Ce fichier permet aussi de gérer les exceptions, de façon à éviter les faux positifs.
Lorsqu'une nouvelle configuration est chargée, le driver de Sysmon récupère les données du fichier XML afin de les stocker dans le Registre Windows, après avoir converti les données. Cela signifie qu'il n'y a aucune dépendance de Sysmon vis-à-vis de son fichier de configuration.
Notre premier réflexe pourrait-être d'héberger le fichier de configuration XML sur un partage puis de faire en sorte qu'il soit lu par nos "agents" Sysmon déployés sur les machines Windows. Effectivement, cela pourrait fonctionner. Le problème, c'est que ce fichier de configuration pourrait être accessible par un potentiel attaquant. Il pourrait prendre connaissance de notre configuration Sysmon, ce qui lui permettrait de savoir comment agir pour ne pas être détecté et il pourrait essayer de la contourner.
Comment faire alors ?
A. Injecter la configuration Sysmon dans le Registre
La réponse se trouve dans cette phrase de l'article : "Lorsqu'une nouvelle configuration est chargée, le driver de Sysmon récupère les données du fichier XML afin de les stocker dans le Registre Windows, après avoir converti les données." - Nous allons directement injecter la configuration dans le Registre ! Ceci va nécessiter quelques manipulations, mais l'avantage, c'est que la configuration sera difficilement accessible, lisible et interprétable par un attaquant.
Nous allons devoir procéder de la façon suivante :
1 - Créer une stratégie de groupe pour installer Sysmon, sans configuration personnalisée.
2 - Créer une configuration personnalisée à partir d'une machine de référence.
3 - Exporter la configuration Sysmon, à partir du Registre.
4 - Créer une stratégie de groupe pour injecter les valeurs de Registre sur les machines où Sysmon doit être configuré.
Désormais, nous allons voir comment mettre en œuvre cette méthode fondée sur 4 grandes étapes.
Si malgré tout, vous souhaitez utiliser un fichier XML pour gérer votre configuration Sysmon, je vous recommande de masquer le partage sur lequel le fichier est hébergé et de brider les droits autant que possible. Autorisez seulement les objets ordinateurs où Sysmon est déployé à venir lire la configuration.
III. GPO - Déploiement de Sysmon sur Windows
Intéressons-nous à l'installation de Sysmon sur Windows. Nous allons partir du principe que seule la version 64 bits est utilisée et notre script PowerShell va permettre déployer cette version. Une fois que le script sera prêt, il sera exécuté au travers d'une stratégie de groupe.
A. Script PowerShell pour installer Sysmon
Pour rappel, lorsque Sysmon est installé sur une machine, il crée différentes clés de Registre dont celles-ci (une seule selon la version) :
Nous allons utiliser un script PowerShell pour réaliser l'installation de Sysmon64. Si l'application est déjà installée, le script ne cherchera pas à la réinstaller. Dans le script ci-dessous, vous devez adapter la valeur de la variable "$SysmonShare" car elle contient le chemin vers l'exécutable de Sysmon. Vous pouvez stocker cet exécutable dans le partage "SYSVOL" de votre domaine Active Directory ou dans un autre partage correctement configuré.
# Partage - Chemin réseau vers l'exécutable de SYSMON
$SysmonShare = "\\it-connect.local\SYSVOL\it-connect.local\scripts\Sysmon64.exe"
# Avant de poursuivre, on vérifie que le chemin vers l'exécutable est correct
if(Test-Path -Path $SysmonShare -PathType Leaf)
{
# Chemin vers la clé de Registre de Sysmon (version 64 bits)
$SysmonRegKey = "HKLM:\SYSTEM\CurrentControlSet\Services\Sysmon64"
# Chemin vers le fichier exécutable de Sysmon64 via lecture du Registre
$SysmonRegImagePath = (Get-ItemProperty -Path $SysmonRegKey -Name ImagePath -ErrorAction SilentlyContinue).ImagePath
# Si $SysmonRegImagePath n'est pas nul, c'est que Sysmon est installé
if ($SysmonRegImagePath)
{
Write-Output "Sysmon64 est déjà installé sur cette machine"
}
# Sinon, Sysmon doit être installé à partir de l'exécutable présent dans le partage
else
{
Write-Output "Sysmon64 va être installé sur cette machine"
& $SysmonShare -i -accepteula
}
}
Si vous avez besoin d'un script PowerShell plus complet, vous pouvez utiliser celui de l'ANSSI accessible via le lien ci-dessous. Ce script est capable de gérer les versions 32 bits et 64 bits, mais aussi la mise à jour de Sysmon, ainsi que les configurations particulières basées sur un pilote Sysmon renommé (ce qui influence le nom de la clé de Registre liée au service).
Plutôt que d'utiliser un script PowerShell, nous pourrions utiliser un script Batch. En revanche, il n'existe pas de paquet MSI pour Sysmon.
B. Exécuter le script dans une GPO
Désormais, nous allons exécuter ce script PowerShell à l'aide d'une stratégie de groupe que l'on va créer avec la console "Gestion de stratégie de groupe". Dans cet exemple, la GPO est nommée "Installer Sysmon (PS1)" et elle est liée à l'OU "Serveurs" de l'annuaire Active Directory.
Modifiez la GPO et suivez la procédure suivante :
1 - Accédez à : Configuration ordinateur > Stratégies > Paramètres Windows > Scripts (démarrage / arrêt).
2 - Double-cliquez sur "Démarrage".
3 - Cliquez sur "Afficher les fichiers" pour accéder au répertoire des scripts de la GPO et collez le fichier PS1 à cet emplacement. Vous pouvez aussi stocker le script à la racine du SYSVOL.
4 - Cliquez sur "Ajouter" puis sur "Parcourir".
5 - Sélectionnez le script, ici, il s'appelle simplement "Sysmon.ps1".
6 - Cliquez sur "OK" à deux reprises.
Pour information, voici où est stocké le script sur mon environnement de démo :
Voilà, la GPO pour installer Sysmon est prête !
Il ne reste plus qu'à tester son bon fonctionnement sur une machine. Pour rappel, Sysmon sera déployé dans sa configuration par défaut, c'est-à-dire sans aucune règle personnalisée. Sur une machine où Sysmon a été installée, vous pouvez voir le service "Sysmon64", comme ceci :
Remarque : si vous utilisez un script PowerShell pour déployer Sysmon, il est recommandé de le signer à l'aide d'un certificat de signature de code. À ce sujet, vous pouvez lire les deux articles suivants :
Vous allez devoir définir un modèle de configuration Sysmon correspondant à vos besoins et aux spécificités de votre infrastructure. Vous pouvez utiliser comme base la configuration Sysmon de SwiftOnSecurity déjà évoquée dans notre précédent tutoriel sur Sysmon.
Dans cet exemple, c'est ce fichier que nous allons utiliser. Voici le lien :
Vous devez utiliser une machine sur laquelle Sysmon est installé afin de mettre à jour la configuration. Je vous rappelle que l'objectif est d'utiliser cette machine comme "machine de référence" pour la configuration de Sysmon. Le fichier XML de Sysmon doit être présent uniquement sur cette machine.
Voici la commande à exécuter pour mettre à jour la configuration de Sysmon à partir d'un fichier XML :
.\Sysmon64.exe -c sysmonconfig-export.xml
Remarque : en modifiant les paramètres, vous pouvez aussi installer Sysmon et lui associer directement cette configuration.
La prise en compte de cette configuration est immédiate. Désormais, nous allons devoir l'exporter à partir des valeurs présentes dans le Registre Windows.
B. Exporter la configuration Sysmon à partir du Registre
La configuration Sysmon est stockée dans la clé de Registre correspondante au pilote Sysmon : "SysmonDrv" (nom par défaut). Ceci correspond à cet emplacement du Registre :
Nous allons devoir exporter les données des valeurs de Registre suivantes :
DnsLookup
HashingAlgorithm
Options
Rules
La configuration de notre fichier XML est stockée dans "Rules" mais nous devons également prendre en compte les autres valeurs. Certaines valeurs étant en binaire, il n'est pas possible d'exporter les données dans un format interprétable par l'éditeur de GPO à partir de "regedit.exe".
Nous avons deux options :
Utiliser PowerShell pour lire les données et exporter les données de chaque valeur dans un fichier texte. Ensuite, nous pourrons copier-coller le contenu de chaque fichier texte dans notre GPO.
Utiliser l'Assistant Registre de la console de Gestion des stratégies de groupe pour aller lire les données dans le Registre directement et les ajouter à la GPO. C'est sans aucun doute la façon la plus simple, mais cela implique d'avoir les outils RSAT sur le serveur de référence ou de pouvoir s'y connecter à distance via la console de Gestion des stratégies de groupe (connexion RPC).
Dans la suite de ce tutoriel, nous allons appliquer la méthode via l'Assistant Registre, mais voici des instructions pour effectuer la manipulation via PowerShell.
La commande ci-dessous permet d'exporter les données de la valeur "Rules" dans le fichier texte "C:\TEMP\Export_Sysmon_Rules.txt". Nous utilisons la méthode "ToString" associée au format "X2" pour que les données soient converties au format hexadécimal. Ce format est pris en charge par l'éditeur de GPO, ce qui nous permettra de préciser les valeurs dans un format accepté.
L'opération doit être répétée pour chaque valeur du Registre.
Pour vous aider, voici un bout de code pour générer un fichier texte pour chaque valeur. Vous pouvez changer la valeur de la variable "$SysmonSvcOutput" pour modifier le chemin du dossier de sortie.
Désormais, nous allons voir comment ajouter ces informations à une GPO.
C. Configurer Sysmon par GPO
Pour configurer Sysmon, nous allons créer une nouvelle GPO. Pour ma part, elle s'appelle "Configurer Sysmon (GPP)".
1 - Modifiez la GPO et accédez à l'emplacement suivant : Configuration ordinateur > Préférences > Paramètres Windows > Registre.
2 - Effectuez un clic droit puis sous "Nouveau", choisissez "Assistant Registre". Attention, si vous avez exporté les données via PowerShell, choisissez "Élément Registre" et configurez chaque valeur de Registre.
Un assistant s'exécute. Si votre machine de référence correspond à la machine locale, choisissez "Ordinateur local", sinon prenez la seconde option et recherchez votre machine.
Ensuite, parcourez l'arborescence du Registre jusqu'à pouvoir cocher les 4 valeurs que nous souhaitons importer. Cliquez sur "Terminer".
Voilà, les valeurs et les données associées sont immédiatement importées dans la GPO. Pratique.
Voici le résultat obtenu :
Si vous avez besoin de différencier Sysmon 32 bits et Sysmon 64, utilisez une règle de "Ciblage au niveau de l'élément" sur chaque règle de la GPO. Cette règle devra aller vérifier la présence de la clé de Registre "Sysmon" ou "Sysmon64" pour déterminer la version de l'application.
De plus, sachez que le schéma du fichier XML de Sysmon peut évoluer au fil des versions, donc nous devons en tenir compte. Sinon, la configuration peut devenir "illisible" par l'outil. C'est pour cette raison que nous allons ajouter une condition de ciblage sur chaque règle de la GPO. Pour connaître la version de Sysmon, il suffit de regarder dans les propriétés de l'exécutable Sysmon. Ici, il s'agit de la version "15.14.0.0".
Ensuite, nous allons créer une condition de cette façon :
1 - Modifiez une première valeur dans la GPO, cliquez sur "Commun", puis cochez "Ciblage au niveau de l'élément" et cliquez sur le bouton "Ciblage".
2 - Cliquez sur "Nouvel élément" et choisissez "Correspondance fichier".
3 - Choisissez le type de correspondance nommé "Faire correspondre la version de fichier".
4 - Indiquez le chemin d'accès en version 64 bits (si vous gérez les deux versions, vous devez créer plusieurs conditions et utiliser l'opérateur "OU").
%WinDir%\Sysmon64.exe
5 - Indiquez votre version comme valeur maximale, en indiquant la valeur complète (y compris les zéros). Choisissez l'opérateur "<=" à la place de "<" sinon la règle ne s'appliquera pas. Si besoin, nous pourrions aussi ajuster la version minimale (valeur de gauche).
Validez et répétez l'opération pour les autres règles de la GPO.
V. Tester la configuration
Désormais, il ne reste plus qu'à tester la GPO sur une machine ciblée par celle-ci. Voici l'état d'une machine sur laquelle Sysmon a été installé par GPO mais qui n'a pas appliqué de fichier de configuration. Nous voyons que la valeur "Rules" n'est même pas présente.
Après application de la GPO, les valeurs de Registre sont bien actualisées et nous pouvons le confirmer en regardant le Registre :
Il faut savoir qu'il n'y a pas besoin de redémarrer le service Sysmon. Il va détecter de lui-même la modification de la configuration (valeur "Rules") et l'appliquer immédiatement.
Nous venons de déployer une configuration de Sysmon par GPO sans l'exposer dans un fichier XML ! Ainsi, notre configuration est protégée des regards indiscrets.
VI. Conclusion
En suivant ce tutoriel sur Sysmon, vous devriez être en mesure de l'installer et de le configurer de façon automatique sur vos machines Windows ! La prochaine étape consistera à collecter ses événements dans le but de pouvoir les analyser.
Un nouveau ransomware baptisé ShrinkLocker présente la particularité de s'appuyer sur BitLocker, un composant intégré par défaut à Windows, pour chiffrer les données d'un ordinateur. Faisons le point sur cette menace.
Le ransomware ShrinkLocker s'appuie sur BitLocker pour chiffrer les données et les disques des machines Windows compromises, après avoir effectué des modifications sur le disque afin de créer son propre volume d'amorçage. Il a été utilisé pour cibler des organisations dans le secteur du médical, des industries ainsi qu'une entité gouvernementale.
Les chercheurs en sécurité de Kaspersky ont mis en ligne un rapport détaillé au sujet du ransomware ShrinkLocker, que vous pouvez retrouver sur cette page.
ShrinkLocker s'appuie sur VBScript, WMI et diskpart
Il est intéressant de noter que ShrinkLocker est écrit en VBScript (Visual Basic Scripting), un langage qui est en fin de vie et que Microsoft va supprimer de Windows d'ici quelques années. Mais, en attendant, VBScript est parfaitement utilisable sur Windows, même s'il devrait pouvoir être désinstallé facilement à partir de Windows 11 24H2.
Par ailleurs, pour détecter la version de Windows exécutée sur la machine ciblée, le ransomware ShrinkLocker s'appuie WMI afin de solliciter la classe "Win32_OperatingSystem", bien connue des administrateurs systèmes. Ceci permet au ransomware d'effectuer quelques vérifications, notamment de s'assurer que le domaine de la machine correspond bien à la cible et que l'OS est plus récent que Windows Vista.
Si la cible répond à différents critères, l'attaque se poursuit grâce à l'utilisation de l'outil diskpart intégré à Windows. Il est utilisé pour réduire de 100 Mo toutes les partitions qui ne sont pas des partitions de démarrage. L'espace non alloué est utilisé pour créer de nouveaux volumes primaires sur le disque de la machine.
Enfin, le Registre Windows est modifié pour configurer le système afin de désactiver les connexions Bureau à distance et pour activer BitLocker sans utiliser de puce TPM. Les clés de Registre "EnableBDEWithNoTPM" et "fDenyTSConnections" sont évoquées.
Une machine piégée avec BitLocker
Le ransomware ShrinkLocker fait en sorte d'activer et de configurer BitLocker de façon à ce que la victime ne puisse plus lancer sa machine. Nous pourrions presque dire que la machine a été sabotée par l'intermédiaire de BitLocker.
La clé BitLocker générée est transmise aux cybercriminels, tandis qu'à la fin de l'opération, ShrinkLocker force le système à s'éteindre pour appliquer toutes les modifications. Ainsi, l'utilisateur se retrouve avec une machine avec des disques verrouillés et sans aucune option de récupération BitLocker...
"Après avoir supprimé les protecteurs BitLocker et configuré le chiffrement du disque, le script suit les étapes suivantes pour effacer ses traces.", précise Kaspersky. En effet, le ransomware effectue différentes actions de nettoyage sur la machine, telle que la suppression du journal "Microsoft-Windows-PowerShell/Operational".
Il pourrait s'agir d'attaques dont l'objectif est de détruire les données puisque le ransomware ne laisse aucune note de rançon. La seule information fournie est une adresse e-mail indiquée en tant que label sur la nouvelle partition créée par le logiciel malveillant.
The latest version of Ubuntu, 24.04, is out with new features for multiple platforms. This article specifically guides you through upgrading to 24.04 on the Windows Subsystem for Linux (WSL2) platform. Check out this article for a general upgrade guide for other platforms.
Dans ce tutoriel, nous allons voir comment calculer le hash d'un fichier avec PowerShell ! Depuis PowerShell 4.0, le cmdlet nommé "Get-FileHash" est présent et il permet de calculer le hash d'un ou de plusieurs fichiers selon plusieurs algorithmes.
PowerShell 4.0 est disponible nativement depuis Windows 8.1 et Windows Server 2012 R2, ce qui en fait une version très largement répandue aujourd'hui.
Le hash d'un fichier est souvent utilisé pour vérifier l'intégrité du fichier. Les algorithmes de hachage couramment utilisés comprennent MD5, SHA-1, SHA-256, etc. Chacun de ces algorithmes produit un hash de longueur différente.
Par exemple, si vous téléchargez un fichier à partir d'Internet, vous pouvez comparer le hash du fichier téléchargé avec le hash fourni par le site web pour vous assurer que le fichier n'a pas été altéré pendant le téléchargement. Si les deux valeurs sont égales, vous pouvez affirmer que le fichier est authentique (vis-à-vis de la version d'origine). Ceci peut s'avérer utile aussi pour de l'échange de données.
Vous pouvez calculer le hash des différents types de fichiers : images ISO, packages d'installation d'applications (EXE, MSI, etc.), et tout autre fichier selon vos besoins.
Concernant les algorithmes, voici ceux disponibles avec Windows PowerShell 5.1 :
MAC Triple DES
MD5
RIPEMD160
SHA1
SHA256
SHA384
SHA512
Attention, avec PowerShell 7, le nombre d'algorithmes pris en charge est différent et plus limité : MD5, SHA1, SHA256, SHA384 et SHA512. Dans les deux cas, SHA256 est la valeur par défaut du paramètre "-Algorithm".
Ouvrez une console pour essayer la commande. Par exemple, pour calculer le hash SHA1 du fichier "it-connect.txt" situé dans "C:\files\" :
Cela donnera un résultat de ce type où l'on voit le hash :
Que faire de cette information ? La valeur du hash retournée ici peut être comparée avec la valeur de hash fournie sur le site depuis lequel vous avez téléchargé le fichier. Sinon, vous pouvez aussi calculer le hash et au moment de transmettre le fichier à quelqu'un, vous lui fournissez aussi le hash. Ceci lui permettra de vérifier l'authenticité du fichier reçu.
Vous pouvez aussi calculer le hash d'un ensemble de fichiers. Voici un exemple :
Ci-dessous, le résultat en image. Le résultat est identique à chaque fois, car il s'agit d'un même fichier dupliqué : d'ailleurs le hash identique permet de l'affirmer.
III. Conclusion
Vous êtes désormais en mesure de calculer un hash facilement sous Windows, avec une commande simplissime mais à connaître : Get-FileHash.
La dernière version de test de Windows 11 24H2 vient d’être déployée. Elle permet aux utilisateurs faisant partie du programme Insider d'expérimenter les divers changements que cette mise à jour majeure doit apporter au système d’exploitation de Microsoft.
Quick Assist, l'outil de contrôle à distance intégré à Windows, est exploité par les cybercriminels dans le cadre d'une campagne malveillante visant à déployer le ransomware Black Basta. Faisons le point.
Quick Assist, ou en français "Assistance rapide", est une fonctionnalité présente dans Windows 10 et Windows 11 permettant d'offrir un contrôle à distance à son ordinateur. Ceci peut être utile pour une intervention de support informatique, par exemple.
Depuis la mi-avril, les cybercriminels du groupe Storm-1811, un gang financé par le gang de ransomware Black Basta, ont lancé une campagne d'attaques par ingénierie sociale.
"Les cybercriminels abusent des fonctions d'assistance rapide pour mener des attaques d'ingénierie sociale en se faisant passer, par exemple, pour un contact de confiance comme le support technique de Microsoft ou un professionnel de l'informatique de l'entreprise de l'utilisateur cible afin d'obtenir un accès initial à un appareil cible.", peut-on lire sur le site de Microsoft.
Un mode opératoire élaboré sur fond de phishing vocal
Tout commence par l'identification des utilisateurs qui seront pris pour cible par l'intermédiaire de leur adresse e-mail. Les pirates vont inscrire ces adresses e-mails sur des listes d'abonnements afin que les utilisateurs reçoivent beaucoup de spams. Ensuite, les pirates vont contacter l'utilisateur en prétextant vouloir corriger ce problème de réception de nombreux spams.
C'est à partir de là qu'une prise de contact pourra être établie par l'intermédiaire d'un appel téléphonique. Pour piéger l'utilisateur, le pirate se fait passer pour un technicien de l'entreprise ou une personne du support de Microsoft.
Grâce à Quick Assist, ils obtiennent un accès distant à la machine et vont pouvoir demander à prendre le contrôle à distance, dans le but de résoudre ce fameux "problème" de spams.
"L'utilisateur cible n'a qu'à appuyer sur CTRL + Windows + Q et à saisir le code de sécurité fourni par le cybercriminel", précise Microsoft. En effet, ce raccourci lance immédiatement Quick Assist sur la machine. Mais, leur objectif est bel et bien de déployer un logiciel malveillant sur la machine. Un très bel exemple de phishing vocal.
Sur la machine compromise, plusieurs outils sont déployés, notamment ScreenConnect pour avoir la main à distance sur la machine (sans surveillance), Cobalt Strike, ainsi que QakBot, un Cheval de Troie bancaire très utile pour déployer d'autres logiciels malveillants. La dernière étape consiste à déployer le ransomware Black Basta sur le réseau de l'entreprise.
Microsoft vous recommande de désinstaller ou bloquer Quick Assist sur vos appareils si vous n'utilisez pas cette fonctionnalité. Bien entendu, il est également important de sensibiliser les utilisateurs et de les informer.