Microsoft a une petite surprise pour les utilisateurs de Windows 10. Alors que l’OS est bientôt en fin de vie, le géant de Redmond rouvre son canal bêta. Le but est de tester les nouvelles fonctionnalités IA Copilot que l’entreprise souhaite ajouter à cette version du système d’exploitation.

L’article Windows 10 n’est pas mort, de nouvelles fonctionnalités arrivent en bêta est apparu en premier sur Tom’s Hardware.

Si vous avez encore un vieux PC sous Windows Vista qui prend la poussière dans un coin, ne le jetez pas tout de suite ! En effet, grâce à Windows Vista Extended Kernel, vous allez pouvoir lui donner un coup de jeune et profiter des logiciels récents normalement incompatibles.

Développé par le créateur de Supermium, un navigateur Chromium optimisé pour les anciens Windows, cet outil d’optimisation système est une véritable cure de jouvence pour votre machine vintage. En mettant à jour les fichiers important de ce système sorti en 2007, notamment les DLL, il lui permet de faire tourner des applications récentes comme Firefox, OBS Studio ou encore Chromium.

L’avantage, c’est que vous pourrez conserver votre bonne vieille installation et vos habitudes. Et vous n’aurez pas besoin de formater ou de changer d’OS, mais juste d’installer cet add-on et le tour sera joué. Comme ça, votre vieille bécane sera parée pour surfer sur le web, sans galérer avec des certificats expirés ou des technologies obsolètes.

Bien sûr, on ne parle pas de performances de haut vol, hein… N’espérez pas faire tourner les derniers jeux AAA du moment ou faire du montage vidéo 4K. Mais pour une utilisation bureautique et multimédia de base, ça fera largement l’affaire. C’est toujours ça de pris !

Bien sûr, niveau sécurité, c’est pas forcement le pied, donc soyez quand même trèèèès prudent. Notez aussi qu’il existe d’autres solutions beaucoup plus pertinente pour upgrader un PC vieillissant, comme installer une distribution Linux légère. Mais si vous tenez à rester sous Windows et que vous avez un faible pour Vista, y’a cet outil.

Vous pouvez télécharger Windows Vista Extended Kernel sur le site de l’auteur.

Allez, je vous laisse, j’ai un Pentium 4 qui m’attend pour une petite LAN de Quake 3 Arena à l’ancienne.

Bah quoi ?

Microsoft semble enfin prêt à abandonner le protocole d'authentification NTLM dans Windows et Windows Server. L'entreprise américaine estime que ce protocole est obsolète et que les développeurs doivent entamer une transition vers Kerberos. Voici ce qu'il faut savoir.

Le protocole NTLM est très utilisé par les différentes versions de Windows et Windows Server, et pour cause, il a été introduit en 1993 au sein de Windows NT et il est toujours très utilisé aujourd'hui. Néanmoins, ce n'est pas un secret : le protocole d'authentification NTLM est exploitable au sein différents scénarios d'attaques, notamment en environnement Active Directory, et il représente un véritable point faible dans le SI des organisations.

Microsoft a conscience de ces problèmes de sécurité et va abandonner progressivement le protocole NTLM au profit d'alternatives plus sécurisées, notamment Kerberos. "Toutes les versions de NTLM, y compris LANMAN, NTLMv1 et NTLMv2, ne font plus l'objet d'un développement actif et sont obsolètes.", peut-on lire sur le site de Microsoft.

Remarque : l'authentification NTLM est vulnérable à plusieurs attaques telles que "NTLM Relay" et "Pass-the-hash".

Après l'annonce récente de la fin de VBScript dans Windows, Microsoft semble bien décidé à faire du ménage dans ses systèmes d'exploitation pour en améliorer la sécurité.

Est-ce que Windows Server 2025 prendra toujours en charge NTLM ?

C'est peut-être une question que vous vous posez en lisant cet article. Elle est légitime puisqu'il n'est pas aussi simple de se séparer du protocole NTLM... Rassurez-vous, l'abandon de NTLM sera effectué en plusieurs étapes et Windows Server 2025 va supporter NTLM, tout comme la prochaine version majeure de Windows.

"L'utilisation de NTLM continuera à fonctionner dans la prochaine version de Windows Server et dans la prochaine version annuelle de Windows.", précise l'entreprise américaine. Malgré tout, il y a du changement.

Dans un autre article publié récemment au sujet de la sécurité de Windows 11, Microsoft évoque aussi la fin à venir de NTLM : "La dépréciation de NTLM a été une demande importante de notre communauté de sécurité, car elle renforcera l'authentification des utilisateurs, et la dépréciation est prévue pour la seconde moitié de 2024."

NTLM et Kerberos : le passage au mode "Negotiate"

Microsoft souhaite que l'authentification Kerberos soit prioritaire vis-à-vis de NTLM. Autrement dit, lorsqu'il n'y a pas le choix, notamment si le périphérique ou l'application source ne supporte pas NTLM.

Cela signifie qu'il ne doit plus y avoir d'appels en direct vers NTLM, mais des appels de type "Negotiate" afin que le protocole Kerberos soit utilisé s'il est disponible. Si ce n'est pas le cas, le NTLM est utilisé en guise de solution de replis. C'est le principe de l'authentication fallback. L'objectif étant de permettre aux entreprises d'effectuer une transition en douceur.

Ceci signifie également que les développeurs vont devoir adapter leurs applications, peut-être en s'intéressant à la fonction "AcquireCredentialsHandle" qui intègre plusieurs modes (NTLM, Negotiate, Kerberos, etc.).

Enfin, si vous souhaitez vous débarrasser de NTLM dans votre organisation et préparer ces futurs changements, vous pouvez consulter le tutoriel mentionné ci-dessous. La première phase d'audit vous permettra d'identifier les équipements et applications faisant encore usage du protocole NTLM.

• Active Directory : comment désactiver le protocole NTLM ?

The post Microsoft prêt à abandonner le protocole d’authentification NTLM ! first appeared on IT-Connect.

OSDCloud is a free PowerShell framework for deploying Windows 10 and Windows 11. The tool provides simple methods for adding drivers and configuring settings in an image. After booting from a customized WinPE, either the OSDCloudGUI or an automated script initiates the installation.

I. Présentation

Cet article a pour but de vous sensibiliser à l'importance de la vérification de l'intégrité des sources d'installation pour vos images ISO. Nous verrons également comment répondre à la question suivante : comment vérifier l'authenticité d'une image ISO ?

Nous allons parler d'un principe fondamental de la cybersécurité qui est la préservation de l'intégrité des sources. Que ce soit dans un contexte professionnel ou personnel, il est fréquent de rencontrer des sources historiques ou des versions obsolètes de logiciels, souvent sans un suivi approprié.

Il n'est pas rare de trouver des fichiers ISO de SQL Server ou de Windows téléchargés ou modifiés sans une référence adéquate au hash ou à la source de téléchargement correspondante.

Nous allons voir comment grâce à l'outil Check-ISO ou PowerShell et des sources fiables, qu'il sera possible de vérifier nos sources pour les images ISO de produits Microsoft.

II. Rappel sur l'intégrité des sources

A. Téléchargement de source Microsoft

Microsoft propose de télécharger les sources pour les particuliers et professionnels n'ayant pas d'abonnement à partir du centre de téléchargement disponible à l'adresse suivante : https://www.microsoft.com/fr-fr/download

Ce centre permet de télécharger les sources pour divers produits comme SQL Server, Windows Server, et Office. Malheureusement, seules les dernières versions mises à jour ou supportées sont disponibles. Pour Windows 11 où Microsoft propose la dernière version en encourageant à vérifier le hash une fois le téléchargement terminé.

Microsoft fourni un tableau des hash correspondant aux différentes langues disponibles.

Pour les entreprises, le même principe est proposé de partir du centre de gestion des licences en volume, le portail professionnel.

B. Problématique

Malgré les consignes de Microsoft, la charge de travail et le temps que cela requiert peuvent être importants et faire que la vérification de l'intégrité des sources n'est pas effectuée. Nous avons remarqué que régulièrement, tant dans les entreprises que chez les particuliers, ces actions ne sont pas respectées.

Peu de personnes téléchargent à partir du portail officiel ou gardent des traces de hash. D'autant plus que les prestataires infogérants n'ont souvent pas accès à ce dernier et utilisent parfois des sources partagées ou provenant d'autres endroits. Passer une après-midi à récupérer ou chercher les hash d'une version qui n'est plus supportée ou absente du portail n'est pas pratique...

Nous verrons ensemble comment apporter une réponse à cette problématique.

Remarque : le hash d'une image ISO sera identique entre deux fichiers, même s'il ne porte le même nom, mais que leur contenu est identique. Ainsi, nous pouvons vérifier l'authenticité d'une image à partir de son hash. Si elle est altérée, son hash sera modifié donc elle n'est plus authentique.

C. Risque de sécurité

Le grand risque réside dans les sources ISO modifiées par un tiers qui pourrait y injecter un malware ou un crack, pouvant endommager le système informatique.

L'image montre comment une source récupérée sur Internet non conforme ou à partir d'un partage manipulé par une personne malveillante, peut contenir un outil espion ou un dispositif capable de contourner la surveillance de sécurité.

Afin de remédier à cela, il est nécessaire de vérifier le hash de la source avant de l'installer. Nous allons voir comment effectuer cette vérification manuellement ou de manière automatisée avec un outil.

III. Vérifier l'intégrité d'une image ISO avec PowerShell

Il est possible d'obtenir le hash d'une image ISO ou d'un quelconque fichier à l'aide de PowerShell en utilisant la commande "Get-FileHash".

Voici un exemple pour vérifier l'intégrité du fichier "J:\ISO\WINDOWS\Windows\win_10.iso" :

Get-FileHash -Path "J:\ISO\WINDOWS\Windows\win_10.iso" -Algorithm SHA256

Vous trouverez plus d'informations sur la commande dans l'article suivant :

• Comment calculer le hash d'un fichier avec PowerShell ?

Une fois le hash obtenu, vous devriez le comparer avec une base de données fiable. En cas d'absence du hash dans le centre de téléchargement Microsoft, il est possible d'utiliser le site suivant :

• https://files.rg-adguard.net/

C'est un projet initié par des membres du staff de Microsoft et des MVP, intégrant les hash de toutes les distributions Microsoft officielles.

Le site contient une base de données riche, avec 380 téraoctets d'informations et d'images ISO, sous réserve de Microsoft. Il demeure ainsi l'une des sources les plus fiables à ce jour, recommandée sur plusieurs forums et blogs, y compris dans les Q&A de Microsoft.

Il suffit de coller le hash obtenu dans la barre de recherche, numérotée 1, située dans l'onglet "Recherche", puis d'appuyer sur Entrée.

Cette tâche peut s'avérer lente ou contraignante pour un grand nombre d'images ISO à vérifier, surtout pour les utilisateurs non avertis. De plus, le lien du site peut être amené à changer.

Pour répondre à ce besoin, l'outil Check-ISO a été développé.

IV. Le projet Check-ISO

Suite à plusieurs demandes des membres de la communauté IT-Connect et afin d'automatiser et de faciliter les actions précédentes, le projet Check-ISO a vu le jour. Cela permettra de gagner en temps et en maniabilité dans le processus de vérification d'intégrité. L'outil est open source, disponible en français et en anglais, et développé par Dakhama Mehdi.

Cet outil est essentiel pour toute personne effectuant fréquemment des installations, qu'il s'agisse de techniciens, d'administrateurs système ou même de responsables de la sécurité des systèmes d'information (RSSI). Ceci vous permet de vérifier si votre image ISO correspond bien à une image officielle de Microsoft, et à quelle version elle correspond.

A. Utilisation

Il n'y a rien de plus simple pour l'utilisation de l'outil ; il suffit de le lancer sous les différents formats et de sélectionner votre fichier ISO. Il est disponible au format exécutable, PS1 (script PowerShell) et dans le Microsoft Store.

Indiquez ensuite le chemin de la source Microsoft à vérifier.

Vous avez la possibilité de sélectionner l'algorithme de hachage à utiliser pour la vérification.

Cliquez ensuite sur "Vérifier ISO" et patientez jusqu'à ce que la vérification soit complète. Notez que le temps de calcul dépend de l'algorithme utilisé ainsi que de la taille de l'ISO.

Une fois la vérification terminée, le nom de la source sera listé en vert, si cette dernière est authentique. Dans le cas contraire, un message en rouge sera affiché indiquant que la source n'a pas été trouvée, et n'a pas pu être vérifiée.

B. Téléchargement

Check-ISO peut être obtenu de deux manières. Tout d'abord, en passant par le Microsoft Store intégré à Windows.

Entrez le nom "Check ISO" dans la barre de recherche et installez l'outil, cette méthode offre les avantages suivants :

• Ne nécessite pas de droit admin
• La source est vérifiée par l'équipe Microsoft
• Cela garantira une mise à jour automatique des versions (pour régler les éventuels bugs)

La seconde méthode de téléchargement consiste à utiliser GitHub.

Accédez à la page du projet :

• GitHub - Mehdi Dakhama - Check-ISO

Copiez le code PowerShell disponible directement dans votre éditeur PowerShell ISE et enregistrez le projet. Vous avez également la possibilité de télécharger le code source au format ".ps1". La page du projet propose également une version portable de l'outil (.exe) signée pour en simplifier l'utilisation.

V. Conclusion

Désormais, vous êtes capable de vérifier l'authenticité d'une image d'un produit ou système d'exploitation Microsoft ! Vous n'avez plus d'excuses pour ne pas le faire ! La logique est la même pour d'autres images ISO ou fichiers, à condition de connaître le hash du fichier d'origine.

The post Comment vérifier l’authenticité d’une image ISO : Windows, Office, etc…? first appeared on IT-Connect.

PowerShell est le nouveau shell de Windows qui permet aux administrateurs de passer toutes sortes de commandes sur Windows 10 et Windows 11.
Il possède aussi des cmdlet pour gérer la base de registre Windows.
Ainsi vous pouvez sans problème manipuler le registre Windows en PowerShell.

Grâce à ce tutoriel, vous allez comprendre comment créer, modifier, effacer des clés du registre Windows en PowerShell et bien plus.

Créer, modifier, effacer des clés du registre Windows en PowerShell

Afin de ne pas rencontrer des problèmes d’autorisations et permissions sous la forme de message d’accès refusé lors de la modification du registre Windows en Powershell, ouvrez ce dernier en administrateur.
Pour cela :

• Faites un clic droit droit sur le menu Démarrer de Windows 10
• Puis PowerShell (admin)

Plus d’informations : Comment ouvrir PowerShell

• Prenez l’habitude d’encadrer les clés du registre Windows avec des apostrophes car lorsqu’il y a un espace dedans, c’est obligatoire
• Elle fonctionne avec les chemins HKLM, HCKU, etc

Lister une clé du registre Windows

Voici comment lister une clé du registre Windows en PowerShell.
On utilise Get-Item avec le caractère * pour lister en récursif.

Get-Item -Path 'HKCU:\SOFTWARE\SysInternals\*'

Une autre méthode pour lister le contenu du registre Windows en PowerShell consiste à utiliser Get-childitem.
Tout d’abord on se positionne sur la clé à lister avec Set-location :

Set-location -path HKLM:\SOFTWARE\Microsoft\Windows\CurrentVersion\

Puis on utilise Get-childitem :

Get-childitem

Faire une recherche dans le registre Windows

Pour recherche une clé dans le registre Windows PowerShell, on utilise Get-childitem.
Ici on recherche des valeurs Chrome dans HCKU (HKEY_CURRENT_USER) :

Get-childitem -path hkcu:\ -recurse -ErrorAction SilentlyContinue | Where-Object {$_.Name -like "*chrome*"}

Créer une clé du registre Windows

Voici comment créer une nouvelle clé dans le registre Windows en PowerShell :

Get-Item -Path 'HKLM:\Software\Policies\Microsoft\Windows' | New-Item -Name 'Windows Search' -Force

Par exemple pour créer une valeur DWord en PowerShell, ici une clé AllowIndexingEncryptedStoresOrItems :

New-ItemProperty -Path 'HKLM:\Software\Policies\Microsoft\Windows\Windows Search' -Name 'AllowIndexingEncryptedStoresOrItems' -Value "1" -PropertyType DWORD -Force

Par exemple pour ajouter un programme au démarrage de Windows en modifiant la clé Run :

Set-Itemproperty -path 'HKLM:\SOFTWARE\Microsoft\Windows\CurrentVersion\Run' -Name 'MonProgramme' -value 'C:\Program Files\MonProgramme\monprogramme.exe'

Modifier une clé du registre Windows

Voici comment modifier une valeur de clé du registre Windows en PowerShell.
Ici on passe la valeur HideSCAVolume à 0 :

Set-ItemProperty -Path HKCU:\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer -Name HideSCAVolume -Value 0 -Force

Effacer une clé du registre Windows

Par exemple pour supprimer la clé CleASupprimer du registre Windows en PowerShell :

Remove-Item -Path HKCU:\Software\CleASupprimer -Force -Verbose

Pour supprimer une valeur du registre Windows, on utilise le cmdlet Remove-ItemProperty :

Remove-ItemProperty -Path 'HKCU:\Software\CleASupprimer' -Name "ValeurASupprimer"

Renommer une clé du registre Windows

Le cmdlet Rename-Item permet de renommer une clé du registre Windows en Powershell :

Rename-Item -Path "HKCU:\test\cle1"  cle2

Pour modifier une valeur avec Rename-ItemProperty :

Rename-ItemProperty -Path "HKCU:\dummy\cle1" -Name "valeur1" -NewName "valeur2"

Lister des valeurs de clé de registre à distance avec PowerShell

Pour lister des valeurs du registre Windows sur le PC distant “NomduPC” en PowerShell, on utilise Invoke-Command :

Invoke-Command -ComputerName NomDuPC -ScriptBlock { Get-ItemProperty -Path 'HKCU:\Software\System' -Name WorkingDirectory}

L’article Créer, modifier, effacer des clés du registre Windows en PowerShell est apparu en premier sur malekal.com.

Docker Desktop provides a user-friendly graphical user interface (GUI) for developing, building, testing, and running containerized applications on Linux, Windows, and macOS. Docker Desktop 4.30 introduces an experimental phase to simplify the Windows Subsystem for Linux 2 (WSL 2) configuration by reducing the previously required two Docker Desktop WSL distributions (docker-desktop and docker-desktop-data) into one, aiming to improve startup time and simplify the codebase.

Une nouvelle API de Microsoft, le DirectSR, a pour but de simplifier l’intégration des différentes technologies d’upscaling. Celle-ci vient d’être lancée en version préliminaire et doit unifier sous une même interface le DLSS de NVIDIA, le FSR d’AMD et le XeSS d’Intel.

L’article DirectSR : Microsoft va unifier le DLSS, le FSR et l’XeSS dans une API unique est apparu en premier sur Tom’s Hardware.

Les erreurs d’activation de Windows figurent parmi les problèmes les plus fréquents rencontrés par les utilisateurs. Ce problème est généralement lié au serveur d’activation de Windows, qui ne parvient pas à valider ou reconnaître la licence associée au compte numérique.
Une erreur courante à laquelle les utilisateurs peuvent être confrontés : “Nous ne pouvons pas activer Windows sur cet appareil car nous ne pouvons pas nous connecter au serveur d’activation de votre organisation. Assurez-vous d’être connecté au réseau de votre organisation et réessayez. Si les problèmes d’activation persistent, contactez le service d’assistance de votre organisation. Code d’erreur 0x8007007B.”.
Ce tutoriel fournit plusieurs solutions de dépannage afin de vous expliquer l’origine de ce problème et vous aider à résoudre cette erreur d’activation des produits Windows.

Nous ne pouvons pas activer Windows sur cet appareil car nous ne pouvons pas nous connecter au serveur de votre organisation

Le “serveur de votre organisation” dans le contexte de l’activation de Windows fait référence à un serveur de gestion de clés (KMS, Key Management Service) utilisé principalement par les grandes entreprises et les institutions pour activer en masse les copies de Windows sur leur réseau.
Key Management Service (KMS) est une technologie d’activation de volume développée par Microsoft. Elle permet aux organisations d’activer les systèmes d’exploitation Windows et les produits Microsoft Office en interne, sans avoir besoin de contacter directement les serveurs d’activation de Microsoft pour chaque installation.

Lorsque vous voyez une erreur indiquant que Windows ne peut pas se connecter au serveur de votre organisation, cela signifie généralement que le système d’exploitation tente de contacter un serveur KMS d’entreprise pour l’activation, mais ne parvient pas à établir la connexion.
Ce message d’erreur rencontré par un particulier peut se produire dans les cas suivants :

• Vous tentez d’activer Windows illégalement à l’aide d’un utilitaire de crack tel que KMSPico / KMSAuto
• Vous avez installé Windows Entreprise sur votre PC personnel et tenter d’activer avec une clé produit provenant d’une entreprise
• Vous avez acheté une licence pas chère sur internet lié à des licences de volume. La référence à un serveur d’organisation signifie qu’il dispose d’une licence de volume qui n’est pas valable pour un utilisateur personnel et qui est souvent utilisée par un vendeur suspect pour activer Windows illégalement.

Comment résoudre le problème “Nous ne pouvons pas activer Windows sur cet appareil car nous ne pouvons pas nous connecter au serveur de votre organisation”

Enregistrer à nouveau la clé produit de Windows

Vous pouvez tenter à nouveau d’enregistrer la clé produit de Windows.
Assurez-vous que vous disposez d’une connexion internet stable puis suivez ces étapes :

• Sur votre clavier, appuyez sur les touches + R
• Puis dans le champs exécuter, saisissez cmd et OK

• Puis saisissez les commandes suivantes où #####-#####-#####-#####-##### est la clé produit

slmgr /upk
slmgr /cpky
slmgr /ipk #####-#####-#####-#####-#####

Si le message d’erreur à l’activation de Windows persiste, il est probable que votre clé produit ne soit pas valide.

Réparer le service d’activation

• Ouvrez à nouveau une invite de commandes en administrateur
• Copiez/collez les commandes suivantes :

net stop sppsvc
cd %windir%\ServiceProfiles\LocalService\AppData\Local\Microsoft\WSLicense
ren tokens.dat tokens.bar
net start sppsvc
cscript.exe %windir%\system32\slmgr.vbs /rilc

• Puis redémarrez l’ordinateur et ré-enregistrer la clé produit Windows

Activer Windows par téléphone

Une autre solution est d’essayer d’activer Windows par téléphone car cela ne requiert aucune connexion au serveur d’activation.

• Sur votre clavier, appuyez sur les touches + R
• Puis saisissez la commande suivante :

slui.exe 4

• Puis dans la liste, sélectionnez France (ou autre pays)
• Ensuite cliquez sur Suivant

• Téléphonez au centre d’activation de Microsoft avec le numéro indiqué gratuit ou pays
• Puis indiquez l’ID d’installation (IID)

• Puis saisissez le code retourné par le centre d’activation de Microsoft

• Si tout va bien, Windows est activé

Autres méthodes :

• Comment activer Windows 11
• Comment activer Windows 10

Contacter le vendeur

Toujours impossible d’activer Windows ?
Si vous avez acheté une licence pas chère sur internet, il est probable que celle-ci ne soit pas valide ou blacklistée par Microsoft.
Contactez le vendeur pour lui demander une nouvelle clé produit.
Si aucune réponse de sa part, il s’agit d’une arnaque.

Dans le cas d’un achat sur des plateformes telles qu’Amazon ou CDiscount, laissez un commentaire pour prévenir d’autres internautes.
Tentez aussi de dénoncer le vendeur auprès de la plateforme.

L’article Nous ne pouvons pas activer Windows sur cet appareil car nous ne pouvons pas nous connecter au serveur de votre organisation (0x8007007B) est apparu en premier sur malekal.com.

After capturing an image from a reference installation, you can deploy it to as many computers as needed. Multiple methods are available for this task. A common approach involves booting the target PCs from WinPE using a USB drive or PXE, and then applying the image with DISM or PowerShell.

L’Auto SR, la technologie de mise à l'échelle de Microsoft, risque de décevoir. En plus d’exiger un PC Copilot+ alimenté par un Snapdragon X Elite, la liste des jeux compatibles semble assez restreinte. De plus, ces 12 jeux ne sont pas particulièrement récents, ce qui remet en question l’utilité même de cet outil.

L’article L’Auto SR, la techno d’upscaling des PC Copilot+ aura un usage restreint est apparu en premier sur Tom’s Hardware.

Depuis Windows 10 et donc sur Windows 11, il est possible de monter un fichier ISO depuis l’Explorateur de fichiers.
Malheureusement, dans certains cas, cela ne fonctionne pas. Le message d’erreur le plus courant est le suivant :

Impossible de monter le fichier
Désolé, il y a eu un problème pour monter le fichier

Si vous rencontrez ces problèmes pour monter le fichier ISO, suivez les étapes de ce guide complet pour résoudre les problèmes d’accès au fichier ISO sur Windows.

Impossible de monter le fichier ISO sous Windows

Désactiver votre antivirus

Si votre antivirus détecte un fichier malveillant dans le fichier ISO, il va verrouiller ce dernier.
A partir de là, Windows sera incapable de monter le fichier ISO.
Pour vérifier cette hypothèse désactivez votre antivirus.
En général, un clic droit sur l’icône depuis la zone de notification et désactiver la protection en temps réel ou désactiver l’agent de protection.

Pour désactiver la protection Windows Defender :

• Ouvrez Sécurité en double-cliquant sur l’icône bouclier en bas à droite de l’écran, dans la zone de notification
• Allez dans Protection contre les virus et les menaces
• Sous Paramètres de protection contre les virus et les menaces, choisissez Gérer les paramètres,
• Puis désactivez la case à cocher Protection en temps réel

Plus d’aide : Comment désactiver la protection en temps réel de Windows Defender

Pour désactiver Windows Defender Firewall :

• Ouvrez l’application Sécurité de Windows
• A gauche, choisissez Pare-feu et protection du réseau
• Allez dans réseau Privé
• Puis désactivez la bascule sous Microsoft Defender Firewall
• Répétez l’opération sur le réseau Public

Plus d’aide : Comment désactiver Windows Defender Firewall

Réinitialiser les attributs du fichier image

Si le fichier ISO possède de mauvais attributs, cela peut être la source de problème pour accéder au contenu.
Cela peut générer un message d’erreur d’accès refusé.
Réinitialiser les attributs des fichiers ISO peut aider à corriger le problème.

• Ouvrez l’explorateur de fichiers de Windows, par exemple, par le raccourci clavier + E. Plus de méthodes dans ce tutoriel : Comment ouvrir l’explorateur de fichiers sur Windows
• Puis sur le fichier ISO, faites un clic droit > Copier en tant que chemin d’accès

• Sur votre clavier, appuyez sur les touches + R
• Puis dans le champs exécuter, saisissez cmd et OK

• Puis passez les commandes suivantes en remplaçant le chemin du fichier ISO. faites un clic droit coller pour insérer le chemin précédemment copié

fsutil sparse setflag "C:\Users\maill\Downloads\ubuntu-24.04-desktop-amd64.iso" 0
attrib -r "C:\Users\maill\Downloads\ubuntu-24.04-desktop-amd64.iso"

Si vous rencontrez le message : Ce fichier provient d’un autre ordinateur et peut être bloqué pour protéger cet ordinateur.
Débloquer le fichier comme ceci :

• Faites un clic droit sur le fichier ISO
• Puis Propriétés
• En bas à droite, décochez l’option Débloquer

Copier le fichier ISO dans un autre emplacement

Dans certains cas, la solution la plus simple consiste à copier le fichier ISO à un autre endroit, puis à monter l’image. Si un fichier image ISO se trouve dans un dossier réseau partagé accessible par un chemin UNC, essayez de le copier sur votre ordinateur local.

Réinitialiser les paramètres du lecteur de CD/DVD dans le registre

Dans certains cas, les problèmes de montage des fichiers ISO dans Windows peuvent être dus à des paramètres incorrects pour le lecteur de CD/DVD (physique et virtuel). Vous pouvez réinitialiser les paramètres du périphérique CD dans le registre :

• Sur votre clavier, appuyez sur les touches + R
• Puis saisissez regedit et OK. Plus de détails : comment accéder au registre Windows
• Puis déroulez la clé suivante :

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Class\{4D36E965-E325-11CE-BFC1-08002BE10318} 

• Supprimez les valeurs UpperFilters et LowerFilters.réinitialiser les paramètres du lecteur cd/dvd dans le registre
• Redémarrez votre ordinateur. Windows réinitialisera les paramètres du lecteur de CD/DVD aux valeurs par défaut

L’article Impossible de monter le fichier ISO sous Windows : 4 solutions est apparu en premier sur malekal.com.

I. Présentation

Dans ce tutoriel, nous allons évoquer l'installation et la configuration de Sysmon sur Windows par l'intermédiaire d'une stratégie de groupe (GPO), en environnement Active Directory. Ceci va nous permettre d'automatiser le déploiement de Sysmon et de gérer sa configuration de façon centralisée.

Outil gratuit présent dans la suite SysInternals de Microsoft, Sysmon est un outil très intéressant pour enrichir les journaux Windows et tracer les activités suspectes sur un poste de travail ou un serveur.

Pour en savoir plus sur son fonctionnement et son utilisation, consultez notre précédent article :

• Tutoriel - Installation et configuration de Sysmon sur Windows

II. Méthodologie de déploiement

A. Sysmon et le fichier de configuration XML

Pour appliquer une nouvelle configuration à Sysmon, nous devons utiliser un fichier de configuration au format XML. Ce fichier de configuration contient un ensemble de règles permettant d'indiquer à Sysmon quelles sont les actions qu'il doit surveiller et journaliser. Ce fichier permet aussi de gérer les exceptions, de façon à éviter les faux positifs.

Lorsqu'une nouvelle configuration est chargée, le driver de Sysmon récupère les données du fichier XML afin de les stocker dans le Registre Windows, après avoir converti les données. Cela signifie qu'il n'y a aucune dépendance de Sysmon vis-à-vis de son fichier de configuration.

Notre premier réflexe pourrait-être d'héberger le fichier de configuration XML sur un partage puis de faire en sorte qu'il soit lu par nos "agents" Sysmon déployés sur les machines Windows. Effectivement, cela pourrait fonctionner. Le problème, c'est que ce fichier de configuration pourrait être accessible par un potentiel attaquant. Il pourrait prendre connaissance de notre configuration Sysmon, ce qui lui permettrait de savoir comment agir pour ne pas être détecté et il pourrait essayer de la contourner.

Comment faire alors ?

A. Injecter la configuration Sysmon dans le Registre

La réponse se trouve dans cette phrase de l'article : "Lorsqu'une nouvelle configuration est chargée, le driver de Sysmon récupère les données du fichier XML afin de les stocker dans le Registre Windows, après avoir converti les données." - Nous allons directement injecter la configuration dans le Registre ! Ceci va nécessiter quelques manipulations, mais l'avantage, c'est que la configuration sera difficilement accessible, lisible et interprétable par un attaquant.

Sachez que cette méthode, qui est celle que nous allons déployer, est également recommandée par l'ANSSI dans son guide "Recommandations de sécurité pour la journalisation des systèmes Microsoft Windows en environnement Active Directory".

Nous allons devoir procéder de la façon suivante :

1 - Créer une stratégie de groupe pour installer Sysmon, sans configuration personnalisée.

2 - Créer une configuration personnalisée à partir d'une machine de référence.

3 - Exporter la configuration Sysmon, à partir du Registre.

4 - Créer une stratégie de groupe pour injecter les valeurs de Registre sur les machines où Sysmon doit être configuré.

Désormais, nous allons voir comment mettre en œuvre cette méthode fondée sur 4 grandes étapes.

Si malgré tout, vous souhaitez utiliser un fichier XML pour gérer votre configuration Sysmon, je vous recommande de masquer le partage sur lequel le fichier est hébergé et de brider les droits autant que possible. Autorisez seulement les objets ordinateurs où Sysmon est déployé à venir lire la configuration.

III. GPO - Déploiement de Sysmon sur Windows

Intéressons-nous à l'installation de Sysmon sur Windows. Nous allons partir du principe que seule la version 64 bits est utilisée et notre script PowerShell va permettre déployer cette version. Une fois que le script sera prêt, il sera exécuté au travers d'une stratégie de groupe.

A. Script PowerShell pour installer Sysmon

Pour rappel, lorsque Sysmon est installé sur une machine, il crée différentes clés de Registre dont celles-ci (une seule selon la version) :

Sysmon - 32 bits
HKLM\SYSTEM\CurrentControlSet\Services\sysmon
Sysmon - 64 bits
HKLM\SYSTEM\CurrentControlSet\Services\sysmon64

Nous allons utiliser un script PowerShell pour réaliser l'installation de Sysmon64. Si l'application est déjà installée, le script ne cherchera pas à la réinstaller. Dans le script ci-dessous, vous devez adapter la valeur de la variable "$SysmonShare" car elle contient le chemin vers l'exécutable de Sysmon. Vous pouvez stocker cet exécutable dans le partage "SYSVOL" de votre domaine Active Directory ou dans un autre partage correctement configuré.

# Partage - Chemin réseau vers l'exécutable de SYSMON
$SysmonShare = "\\it-connect.local\SYSVOL\it-connect.local\scripts\Sysmon64.exe"

# Avant de poursuivre, on vérifie que le chemin vers l'exécutable est correct
if(Test-Path -Path $SysmonShare -PathType Leaf)
{
    # Chemin vers la clé de Registre de Sysmon (version 64 bits)
    $SysmonRegKey = "HKLM:\SYSTEM\CurrentControlSet\Services\Sysmon64"

    # Chemin vers le fichier exécutable de Sysmon64 via lecture du Registre
    $SysmonRegImagePath = (Get-ItemProperty -Path $SysmonRegKey -Name ImagePath -ErrorAction SilentlyContinue).ImagePath

    # Si $SysmonRegImagePath n'est pas nul, c'est que Sysmon est installé
    if ($SysmonRegImagePath)
    {
        Write-Output "Sysmon64 est déjà installé sur cette machine"

    }
    # Sinon, Sysmon doit être installé à partir de l'exécutable présent dans le partage
    else
    {
       Write-Output "Sysmon64 va être installé sur cette machine"
       & $SysmonShare -i -accepteula
    }
}

Si vous avez besoin d'un script PowerShell plus complet, vous pouvez utiliser celui de l'ANSSI accessible via le lien ci-dessous. Ce script est capable de gérer les versions 32 bits et 64 bits, mais aussi la mise à jour de Sysmon, ainsi que les configurations particulières basées sur un pilote Sysmon renommé (ce qui influence le nom de la clé de Registre liée au service).

• GitHub - ANSSI - Script de déploiement de Sysmon

Plutôt que d'utiliser un script PowerShell, nous pourrions utiliser un script Batch. En revanche, il n'existe pas de paquet MSI pour Sysmon.

B. Exécuter le script dans une GPO

Désormais, nous allons exécuter ce script PowerShell à l'aide d'une stratégie de groupe que l'on va créer avec la console "Gestion de stratégie de groupe". Dans cet exemple, la GPO est nommée "Installer Sysmon (PS1)" et elle est liée à l'OU "Serveurs" de l'annuaire Active Directory.

Modifiez la GPO et suivez la procédure suivante :

1 - Accédez à : Configuration ordinateur > Stratégies > Paramètres Windows > Scripts (démarrage / arrêt).

2 - Double-cliquez sur "Démarrage".

3 - Cliquez sur "Afficher les fichiers" pour accéder au répertoire des scripts de la GPO et collez le fichier PS1 à cet emplacement. Vous pouvez aussi stocker le script à la racine du SYSVOL.

4 - Cliquez sur "Ajouter" puis sur "Parcourir".

5 - Sélectionnez le script, ici, il s'appelle simplement "Sysmon.ps1".

6 - Cliquez sur "OK" à deux reprises.

Pour information, voici où est stocké le script sur mon environnement de démo :

Voilà, la GPO pour installer Sysmon est prête !

Il ne reste plus qu'à tester son bon fonctionnement sur une machine. Pour rappel, Sysmon sera déployé dans sa configuration par défaut, c'est-à-dire sans aucune règle personnalisée. Sur une machine où Sysmon a été installée, vous pouvez voir le service "Sysmon64", comme ceci :

Remarque : si vous utilisez un script PowerShell pour déployer Sysmon, il est recommandé de le signer à l'aide d'un certificat de signature de code. À ce sujet, vous pouvez lire les deux articles suivants :

• PowerShell - Signer un script avec un certificat (ADCS)
• PowerShell - Signer un script avec un certificat auto-signé

IV. Configuration centralisée de Sysmon

A. Créer un modèle de configuration de Sysmon

Vous allez devoir définir un modèle de configuration Sysmon correspondant à vos besoins et aux spécificités de votre infrastructure. Vous pouvez utiliser comme base la configuration Sysmon de SwiftOnSecurity déjà évoquée dans notre précédent tutoriel sur Sysmon.

Dans cet exemple, c'est ce fichier que nous allons utiliser. Voici le lien :

• Github - SwiftOnSecurity - sysmonconfig-export.xml

Vous devez utiliser une machine sur laquelle Sysmon est installé afin de mettre à jour la configuration. Je vous rappelle que l'objectif est d'utiliser cette machine comme "machine de référence" pour la configuration de Sysmon. Le fichier XML de Sysmon doit être présent uniquement sur cette machine.

Voici la commande à exécuter pour mettre à jour la configuration de Sysmon à partir d'un fichier XML :

.\Sysmon64.exe -c sysmonconfig-export.xml

Remarque : en modifiant les paramètres, vous pouvez aussi installer Sysmon et lui associer directement cette configuration.

La prise en compte de cette configuration est immédiate. Désormais, nous allons devoir l'exporter à partir des valeurs présentes dans le Registre Windows.

B. Exporter la configuration Sysmon à partir du Registre

La configuration Sysmon est stockée dans la clé de Registre correspondante au pilote Sysmon : "SysmonDrv" (nom par défaut). Ceci correspond à cet emplacement du Registre :

Nous allons devoir exporter les données des valeurs de Registre suivantes :

• DnsLookup
• HashingAlgorithm
• Options
• Rules

La configuration de notre fichier XML est stockée dans "Rules" mais nous devons également prendre en compte les autres valeurs. Certaines valeurs étant en binaire, il n'est pas possible d'exporter les données dans un format interprétable par l'éditeur de GPO à partir de "regedit.exe".

Nous avons deux options :

• Utiliser PowerShell pour lire les données et exporter les données de chaque valeur dans un fichier texte. Ensuite, nous pourrons copier-coller le contenu de chaque fichier texte dans notre GPO.
• Utiliser l'Assistant Registre de la console de Gestion des stratégies de groupe pour aller lire les données dans le Registre directement et les ajouter à la GPO. C'est sans aucun doute la façon la plus simple, mais cela implique d'avoir les outils RSAT sur le serveur de référence ou de pouvoir s'y connecter à distance via la console de Gestion des stratégies de groupe (connexion RPC).

Dans la suite de ce tutoriel, nous allons appliquer la méthode via l'Assistant Registre, mais voici des instructions pour effectuer la manipulation via PowerShell.

La commande ci-dessous permet d'exporter les données de la valeur "Rules" dans le fichier texte "C:\TEMP\Export_Sysmon_Rules.txt". Nous utilisons la méthode "ToString" associée au format "X2" pour que les données soient converties au format hexadécimal. Ce format est pris en charge par l'éditeur de GPO, ce qui nous permettra de préciser les valeurs dans un format accepté.

((Get-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\sysmonDrv\Parameters").Rules | ForEach-Object { $_.ToString("X2") }) -join '' > "C:\TEMP\Export_Sysmon_Rules.txt"

Ce qui donnera un fichier similaire à celui-ci :

L'opération doit être répétée pour chaque valeur du Registre.

Pour vous aider, voici un bout de code pour générer un fichier texte pour chaque valeur. Vous pouvez changer la valeur de la variable "$SysmonSvcOutput" pour modifier le chemin du dossier de sortie.

$SysmonSvcOutput = "C:\TEMP"
$SysmonSvcReg = "HKLM:\SYSTEM\CurrentControlSet\Services\SysmonDrv\Parameters"
$SysmonSvcRegValueBinary = @("DnsLookup","Rules")
$SysmonSvcRegValueDword = @("HashingAlgorithm","Options")

foreach($value in $SysmonSvcRegValueBinary){

    ((Get-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\sysmonDrv\Parameters").$value | ForEach-Object { $_.ToString("X2") }) -join '' > "$SysmonSvcOutput\Sysmon_Export_$value.txt"
}


foreach($value in $SysmonSvcRegValueDword){

    (Get-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\sysmonDrv\Parameters").$value > "$SysmonSvcOutput\Sysmon_Export_$value.txt"
}

Désormais, nous allons voir comment ajouter ces informations à une GPO.

C. Configurer Sysmon par GPO

Pour configurer Sysmon, nous allons créer une nouvelle GPO. Pour ma part, elle s'appelle "Configurer Sysmon (GPP)".

1 - Modifiez la GPO et accédez à l'emplacement suivant : Configuration ordinateur > Préférences > Paramètres Windows > Registre.

2 - Effectuez un clic droit puis sous "Nouveau", choisissez "Assistant Registre". Attention, si vous avez exporté les données via PowerShell, choisissez "Élément Registre" et configurez chaque valeur de Registre.

Un assistant s'exécute. Si votre machine de référence correspond à la machine locale, choisissez "Ordinateur local", sinon prenez la seconde option et recherchez votre machine.

Ensuite, parcourez l'arborescence du Registre jusqu'à pouvoir cocher les 4 valeurs que nous souhaitons importer. Cliquez sur "Terminer".

Voilà, les valeurs et les données associées sont immédiatement importées dans la GPO. Pratique.

Voici le résultat obtenu :

Si vous avez besoin de différencier Sysmon 32 bits et Sysmon 64, utilisez une règle de "Ciblage au niveau de l'élément" sur chaque règle de la GPO. Cette règle devra aller vérifier la présence de la clé de Registre "Sysmon" ou "Sysmon64" pour déterminer la version de l'application.

De plus, sachez que le schéma du fichier XML de Sysmon peut évoluer au fil des versions, donc nous devons en tenir compte. Sinon, la configuration peut devenir "illisible" par l'outil. C'est pour cette raison que nous allons ajouter une condition de ciblage sur chaque règle de la GPO. Pour connaître la version de Sysmon, il suffit de regarder dans les propriétés de l'exécutable Sysmon. Ici, il s'agit de la version "15.14.0.0".

Ensuite, nous allons créer une condition de cette façon :

1 - Modifiez une première valeur dans la GPO, cliquez sur "Commun", puis cochez "Ciblage au niveau de l'élément" et cliquez sur le bouton "Ciblage".

2 - Cliquez sur "Nouvel élément" et choisissez "Correspondance fichier".

3 - Choisissez le type de correspondance nommé "Faire correspondre la version de fichier".

4 - Indiquez le chemin d'accès en version 64 bits (si vous gérez les deux versions, vous devez créer plusieurs conditions et utiliser l'opérateur "OU").

%WinDir%\Sysmon64.exe

5 - Indiquez votre version comme valeur maximale, en indiquant la valeur complète (y compris les zéros). Choisissez l'opérateur "<=" à la place de "<" sinon la règle ne s'appliquera pas. Si besoin, nous pourrions aussi ajuster la version minimale (valeur de gauche).

Validez et répétez l'opération pour les autres règles de la GPO.

V. Tester la configuration

Désormais, il ne reste plus qu'à tester la GPO sur une machine ciblée par celle-ci. Voici l'état d'une machine sur laquelle Sysmon a été installé par GPO mais qui n'a pas appliqué de fichier de configuration. Nous voyons que la valeur "Rules" n'est même pas présente.

Après application de la GPO, les valeurs de Registre sont bien actualisées et nous pouvons le confirmer en regardant le Registre :

Il faut savoir qu'il n'y a pas besoin de redémarrer le service Sysmon. Il va détecter de lui-même la modification de la configuration (valeur "Rules") et l'appliquer immédiatement.

Nous venons de déployer une configuration de Sysmon par GPO sans l'exposer dans un fichier XML ! Ainsi, notre configuration est protégée des regards indiscrets.

VI. Conclusion

En suivant ce tutoriel sur Sysmon, vous devriez être en mesure de l'installer et de le configurer de façon automatique sur vos machines Windows ! La prochaine étape consistera à collecter ses événements dans le but de pouvoir les analyser.

The post Cybersécurité : installer et configurer Sysmon sur Windows avec une GPO first appeared on IT-Connect.

Un nouveau ransomware baptisé ShrinkLocker présente la particularité de s'appuyer sur BitLocker, un composant intégré par défaut à Windows, pour chiffrer les données d'un ordinateur. Faisons le point sur cette menace.

Le ransomware ShrinkLocker s'appuie sur BitLocker pour chiffrer les données et les disques des machines Windows compromises, après avoir effectué des modifications sur le disque afin de créer son propre volume d'amorçage. Il a été utilisé pour cibler des organisations dans le secteur du médical, des industries ainsi qu'une entité gouvernementale.

Les chercheurs en sécurité de Kaspersky ont mis en ligne un rapport détaillé au sujet du ransomware ShrinkLocker, que vous pouvez retrouver sur cette page.

• Comment configurer BitLocker sur Windows 11 ?
• Comment configurer BitLocker avec Intune ?

ShrinkLocker s'appuie sur VBScript, WMI et diskpart

Il est intéressant de noter que ShrinkLocker est écrit en VBScript (Visual Basic Scripting), un langage qui est en fin de vie et que Microsoft va supprimer de Windows d'ici quelques années. Mais, en attendant, VBScript est parfaitement utilisable sur Windows, même s'il devrait pouvoir être désinstallé facilement à partir de Windows 11 24H2.

• VBScript sera supprimé de Windows : voici la feuille de route de Microsoft

Par ailleurs, pour détecter la version de Windows exécutée sur la machine ciblée, le ransomware ShrinkLocker s'appuie WMI afin de solliciter la classe "Win32_OperatingSystem", bien connue des administrateurs systèmes. Ceci permet au ransomware d'effectuer quelques vérifications, notamment de s'assurer que le domaine de la machine correspond bien à la cible et que l'OS est plus récent que Windows Vista.

Si la cible répond à différents critères, l'attaque se poursuit grâce à l'utilisation de l'outil diskpart intégré à Windows. Il est utilisé pour réduire de 100 Mo toutes les partitions qui ne sont pas des partitions de démarrage. L'espace non alloué est utilisé pour créer de nouveaux volumes primaires sur le disque de la machine.

Enfin, le Registre Windows est modifié pour configurer le système afin de désactiver les connexions Bureau à distance et pour activer BitLocker sans utiliser de puce TPM. Les clés de Registre "EnableBDEWithNoTPM" et "fDenyTSConnections" sont évoquées.

Une machine piégée avec BitLocker

Le ransomware ShrinkLocker fait en sorte d'activer et de configurer BitLocker de façon à ce que la victime ne puisse plus lancer sa machine. Nous pourrions presque dire que la machine a été sabotée par l'intermédiaire de BitLocker.

La clé BitLocker générée est transmise aux cybercriminels, tandis qu'à la fin de l'opération, ShrinkLocker force le système à s'éteindre pour appliquer toutes les modifications. Ainsi, l'utilisateur se retrouve avec une machine avec des disques verrouillés et sans aucune option de récupération BitLocker...

"Après avoir supprimé les protecteurs BitLocker et configuré le chiffrement du disque, le script suit les étapes suivantes pour effacer ses traces.", précise Kaspersky. En effet, le ransomware effectue différentes actions de nettoyage sur la machine, telle que la suppression du journal "Microsoft-Windows-PowerShell/Operational".

Il pourrait s'agir d'attaques dont l'objectif est de détruire les données puisque le ransomware ne laisse aucune note de rançon. La seule information fournie est une adresse e-mail indiquée en tant que label sur la nouvelle partition créée par le logiciel malveillant.

Source

The post Le ransomware ShrinkLocker utilise BitLocker pour chiffrer les machines Windows first appeared on IT-Connect.

The latest version of Ubuntu, 24.04, is out with new features for multiple platforms. This article specifically guides you through upgrading to 24.04 on the Windows Subsystem for Linux (WSL2) platform. Check out this article for a general upgrade guide for other platforms.

I. Présentation

Dans ce tutoriel, nous allons voir comment calculer le hash d'un fichier avec PowerShell ! Depuis PowerShell 4.0, le cmdlet nommé "Get-FileHash" est présent et il permet de calculer le hash d'un ou de plusieurs fichiers selon plusieurs algorithmes.

PowerShell 4.0 est disponible nativement depuis Windows 8.1 et Windows Server 2012 R2, ce qui en fait une version très largement répandue aujourd'hui.

Le hash d'un fichier est souvent utilisé pour vérifier l'intégrité du fichier. Les algorithmes de hachage couramment utilisés comprennent MD5, SHA-1, SHA-256, etc. Chacun de ces algorithmes produit un hash de longueur différente.

Par exemple, si vous téléchargez un fichier à partir d'Internet, vous pouvez comparer le hash du fichier téléchargé avec le hash fourni par le site web pour vous assurer que le fichier n'a pas été altéré pendant le téléchargement. Si les deux valeurs sont égales, vous pouvez affirmer que le fichier est authentique (vis-à-vis de la version d'origine). Ceci peut s'avérer utile aussi pour de l'échange de données.

Vous pouvez calculer le hash des différents types de fichiers : images ISO, packages d'installation d'applications (EXE, MSI, etc.), et tout autre fichier selon vos besoins.

• Cours - Débuter avec le langage PowerShell

Version originale de l'article : 11 décembre 2013.

II. Utilisation de Get-FileHash

Intéressons-nous au cmdlet évoqué en introduction de cet article.

Voici la syntaxe à utiliser :

Get-FileHash -Algorithm <Nom-algorithme> -Path <Chemin-vers-fichier>

Concernant les algorithmes, voici ceux disponibles avec Windows PowerShell 5.1 :

• MAC Triple DES
• MD5
• RIPEMD160
• SHA1
• SHA256
• SHA384
• SHA512

Attention, avec PowerShell 7, le nombre d'algorithmes pris en charge est différent et plus limité : MD5, SHA1, SHA256, SHA384 et SHA512. Dans les deux cas, SHA256 est la valeur par défaut du paramètre "-Algorithm".

Ouvrez une console pour essayer la commande. Par exemple, pour calculer le hash SHA1 du fichier "it-connect.txt" situé dans "C:\files\" :

Get-FileHash -Algorithm SHA1 -Path "C:\files\it-connect.txt"

Cela donnera un résultat de ce type où l'on voit le hash :

Que faire de cette information ? La valeur du hash retournée ici peut être comparée avec la valeur de hash fournie sur le site depuis lequel vous avez téléchargé le fichier. Sinon, vous pouvez aussi calculer le hash et au moment de transmettre le fichier à quelqu'un, vous lui fournissez aussi le hash. Ceci lui permettra de vérifier l'authenticité du fichier reçu.

Vous pouvez aussi calculer le hash d'un ensemble de fichiers. Voici un exemple :

Get-FileHash -Algorithm SHA256 -Path *.* | Format-List Path,Hash

Ci-dessous, le résultat en image. Le résultat est identique à chaque fois, car il s'agit d'un même fichier dupliqué : d'ailleurs le hash identique permet de l'affirmer.

III. Conclusion

Vous êtes désormais en mesure de calculer un hash facilement sous Windows, avec une commande simplissime mais à connaître : Get-FileHash.

• Microsoft Learn - Get-FileHash

The post PowerShell : comment calculer le hash d’un fichier ? first appeared on IT-Connect.

La dernière version de test de Windows 11 24H2 vient d’être déployée. Elle permet aux utilisateurs faisant partie du programme Insider d'expérimenter les divers changements que cette mise à jour majeure doit apporter au système d’exploitation de Microsoft.

L’article Windows 11 : la mise à jour 24H2 peut enfin être testée en version bêta est apparu en premier sur Tom’s Hardware.

Quick Assist, l'outil de contrôle à distance intégré à Windows, est exploité par les cybercriminels dans le cadre d'une campagne malveillante visant à déployer le ransomware Black Basta. Faisons le point.

Quick Assist, ou en français "Assistance rapide", est une fonctionnalité présente dans Windows 10 et Windows 11 permettant d'offrir un contrôle à distance à son ordinateur. Ceci peut être utile pour une intervention de support informatique, par exemple.

Depuis la mi-avril, les cybercriminels du groupe Storm-1811, un gang financé par le gang de ransomware Black Basta, ont lancé une campagne d'attaques par ingénierie sociale.

"Les cybercriminels abusent des fonctions d'assistance rapide pour mener des attaques d'ingénierie sociale en se faisant passer, par exemple, pour un contact de confiance comme le support technique de Microsoft ou un professionnel de l'informatique de l'entreprise de l'utilisateur cible afin d'obtenir un accès initial à un appareil cible.", peut-on lire sur le site de Microsoft.

Un mode opératoire élaboré sur fond de phishing vocal

Tout commence par l'identification des utilisateurs qui seront pris pour cible par l'intermédiaire de leur adresse e-mail. Les pirates vont inscrire ces adresses e-mails sur des listes d'abonnements afin que les utilisateurs reçoivent beaucoup de spams. Ensuite, les pirates vont contacter l'utilisateur en prétextant vouloir corriger ce problème de réception de nombreux spams.

C'est à partir de là qu'une prise de contact pourra être établie par l'intermédiaire d'un appel téléphonique. Pour piéger l'utilisateur, le pirate se fait passer pour un technicien de l'entreprise ou une personne du support de Microsoft.

Grâce à Quick Assist, ils obtiennent un accès distant à la machine et vont pouvoir demander à prendre le contrôle à distance, dans le but de résoudre ce fameux "problème" de spams.

"L'utilisateur cible n'a qu'à appuyer sur CTRL + Windows + Q et à saisir le code de sécurité fourni par le cybercriminel", précise Microsoft. En effet, ce raccourci lance immédiatement Quick Assist sur la machine. Mais, leur objectif est bel et bien de déployer un logiciel malveillant sur la machine. Un très bel exemple de phishing vocal.

Sur la machine compromise, plusieurs outils sont déployés, notamment ScreenConnect pour avoir la main à distance sur la machine (sans surveillance), Cobalt Strike, ainsi que QakBot, un Cheval de Troie bancaire très utile pour déployer d'autres logiciels malveillants. La dernière étape consiste à déployer le ransomware Black Basta sur le réseau de l'entreprise.

Microsoft vous recommande de désinstaller ou bloquer Quick Assist sur vos appareils si vous n'utilisez pas cette fonctionnalité. Bien entendu, il est également important de sensibiliser les utilisateurs et de les informer.

Source : Microsoft

The post Les pirates exploitent la fonction Quick Assist de Windows pour déployer le ransomware Black Basta first appeared on IT-Connect.

In professional environments, most store apps delivered with Windows are of little value, prompting admins to remove them from the image before deployment. However, you should avoid indiscriminately deleting them, as some system-relevant apps may be among them. PowerShell can be used to remove the crapware selectively.