Veeam vient d'annoncer officiellement la prise en charge de l'hyperviseur Proxmox VE au sein de sa solution Veeam Data Platform, ce qui va permettre aux organisations de sauvegarder et de restaurer leurs machines virtuelles Proxmox avec la solution Veeam !

Il y a moins d'un mois, Veeam avait ajouté la prise en charge de la sauvegarde et la restauration des machines virtuelles exécutées sur l’hyperviseur Linux KVM d’Oracle pour sa solution Veeam Data Platform. Désormais, Proxmox VE vient s'ajouter à la liste des plateformes prises en charge, même s'il faudra attendre encore un peu pour en profiter : la fonctionnalité sera disponible au troisième trimestre 2024.

• Veeam ajoute la prise en charge de l'hyperviseur Oracle Linux KVM

À l'heure actuelle, Veeam prend en charge les solutions VMware vSphere, Microsoft Hyper-V, Nutanix AHV, Oracle Linux Virtualization Manager et Red Hat Virtualization, ainsi que les environnements AWS, Azure et Google Cloud. Cette liste va s'étoffer suite à l'annonce très attendue par la communauté IT et les organisations qui s'apprêtent à laisser de côté VMware au profit de Proxmox, notamment du côté des PME : vous allez pouvoir protéger vos machines virtuelles Proxmox VE avec la solution Veeam.

« La prise en charge attendue de l’environnement virtuel Proxmox par Veeam témoigne de la valeur que l’hyperviseur Proxmox VE apporte à ses utilisateurs dans un contexte marqué par la transformation du marché », ajoute Martin Maurer, CEO de Proxmox.

La prise en charge de Proxmox VE en quelques fonctionnalités clés

Voici quelques points clés quant à la prise en charge de Proxmox VE par Veeam :

• Sauvegardes immuables des machines virtuelles Proxmox VE, sur site et dans le Cloud.
• Performances de sauvegarde avec l’intégration des fonctions de suivi avancé des blocs modifiés (CBT — Changed Block Tracking) et d’ajout de sauvegardes à chaud.
• Veeam BitLooker pour exclure automatiquement les blocs inutilisés sur les disques de sauvegarde, afin d'économiser de l'espace disque sur l'emplacement de stockage des sauvegardes.
• Flexibilité du stockage : la prise en charge de tous les types de référentiels de sauvegarde Veeam Backup & Replication, y compris le stockage objet.
• Liberté de restauration complète des machines virtuelles : les machines virtuelles associées aux plateformes de virtualisation les plus courantes (VMware vSphere ou Microsoft Hyper-V, par exemple) ou à des environnements de cloud publics peuvent être rapidement restaurées sur l’hyperviseur Proxmox VE et inversement.
• Capacités de restauration granulaire avancées afin de pouvoir restaurer facilement les fichiers modifiés ou supprimés.

Désormais, il convient de patienter, même si nous aurons bientôt l'occasion de voir en action la prise en charge de Proxmox VE. À l'occasion de son événement VeeamON, qui se déroulera du 3 au 5 juin 2024, Veeam va présenter cette nouveauté en exclusivité !

Qu'en pensez-vous ?

Source : communiqué de presse

The post Veeam annonce la prise en charge de Proxmox VE pour la sauvegarde et la restauration de machines virtuelles ! first appeared on IT-Connect.

Ubuntu 24.04 LTS (Noble Numbat) est la version avec un support étendu publiée en Avril 2024.
Ce support s’étend sur 5 années, soit donc jusqu’en Juin 2029.

Cette version d’Ubuntu vient avec une version du noyau Linux 6.8, GCC est mis à jour vers la version 14, binutils vers 2.42, glibc vers 2.39 et Python en 3.12.
La pile réseau par défaut est dorénavant NetPlan et PipeWire est le nouveau serveur de son.

Dans ce tutoriel, vous trouverez toutes les liens gratuits pour télécharger les images d’Ubuntu et ses dérivés Kubuntu, LUbuntu, XUbuntu.

Télécharger ISO Ubuntu 24.04 LTS

	Ubuntu 24.04 LTS (AMD64)
Nom de fichier	ubuntu-22.04-desktop-amd64.iso
Taille du fichier	5,7 Go
Format du fichier	ISO
SHA1 / MD5	SHA1 : 08aef13357ce85082fe8292b22e6d1887d46ea37
Liens	Télécharger Ubuntu 24.04 LTS (malekal.com) Télécharger Ubuntu 22.04 LTS (lien direct officiel) → Comment installer Ubuntu 22.04 LTS (Linux)

	Kubuntu 24.04 LTS (AMD64)
Nom de fichier	kubuntu-24.04-desktop-amd64.iso
Taille du fichier	3.9 Go
Format du fichier	ISO
SHA1 / MD5	SHA1 : c36a88584a056aa27cd8abbaf6bb95a2f813ab89
Liens	Télécharger Kubuntu 22.04 LTS (malekal.com) Télécharger Kubuntu 22.04 LTS (lien direct officiel) → Comment installer Ubuntu 22.04 LTS (Linux)

	Xubuntu 24.04 LTS (AMD64)
Nom de fichier	xubuntu-24.04-desktop-amd64.iso
Taille du fichier	3.8 Go
Format du fichier	ISO
SHA1 / MD5	SHA1 : 2fdb4204a5573dea18c4f19bb0e69f0ec868517f
Liens	Télécharger Xubuntu 22.04 LTS (malekal.com) TéléchargerXubuntu 22.04 LTS (lien direct officiel) → Comment installer Ubuntu 22.04 LTS (Linux)

	Lubuntu 24.04 LTS (AMD64)
Nom de fichier	lubuntu-24.04-desktop-amd64.iso
Taille du fichier	3.1 Go
Format du fichier	ISO
SHA1 / MD5	SHA1 : 6b1bbd6626cc66792aa8322e84da469e8c38374e
Liens	Télécharger Lubuntu 24.04 LTS (malekal.com) Télécharger Lubuntu 22.04 LTS (lien direct officiel) → Comment installer Lubuntu 22.04 LTS

L’article Télécharger ISO Ubuntu 24.04 LTS est apparu en premier sur malekal.com.

Microsoft Places, c'est le nom de la nouvelle solution dévoilée par Microsoft. Propulsée par de l'intelligence artificielle, elle a pour objectif de faciliter l'organisation des réunions et du lieu de travail dans les organisations adeptes du mode hybride.

La solution Microsoft Places pour Microsoft 365 s'adresse aux organisations où les salariés sont parfois au bureau, parfois en télétravail, afin de leur permettre d'organiser plus facilement leur agenda : quand mes collègues seront-ils au bureau ? Quel est le meilleur moment pour aller au bureau cette semaine, et pourquoi ? Voici des questions auxquelles peut répondre Places.

"Avec Microsoft Places, une application qui réimagine le travail flexible, l'IA peut rendre encore plus facile la coordination du temps passé au bureau et la connexion avec les collègues.", c'est ainsi que Microsoft présente sa solution Places.

Si vous souhaitez organiser une réunion sur site avec vos collègues, Microsoft Places pourra vous indiquer quand ils seront sur site, ce qui vous permettra de choisir plus facilement le bon créneau. De plus, il facilitera la réservation d'une salle de réunion ou d'un bureau. L'outil a aussi pour objectif de vous inciter à aller au bureau quand vos collègues ou votre responsable sont également sur place, afin de favoriser les échanges et les relations sociales sur site.

Comme le permet déjà Outlook, Places permettra d'indiquer d'où vous travailler actuellement. D'ailleurs, Places sera pleinement intégré dans Outlook, ce qui est cohérent puisqu'il est lié à l'organisation de votre emploi du temps. Ensuite, l'intelligence artificielle par l'intermédiaire de Microsoft Copilot pourra vous guider et vous conseiller, notamment pour identifier un lieu pour votre prochaine réunion. "Dans le courant du second semestre 2024, vous pourrez utiliser Copilot pour savoir quels sont les meilleurs jours pour venir au bureau.", précise Microsoft dans son article.

Places sera aussi utile pour les responsables de service parce qu'ils pourront informer les employés de l'heure à laquelle ils seront au bureau et des priorités à respecter pour chaque journée de travail. Enfin, le service informatique pourra s'appuyer sur Places pour obtenir des statistiques sur l'utilisation des salles.

Quand sera disponible Microsoft Places ? À quel coût ?

Dès maintenant, Microsoft Places est disponible en préversion publique ("Public Preview") et il sortira probablement en version stable dans la seconde partie de l'année 2024. Microsoft n'a pas donné de date précise à ce sujet.

Microsoft Places n'est pas gratuit, car il sera proposé dans le cadre de la licence Microsoft Teams Premium, cette dernière étant facturée 6,60 € HT par utilisateur/mois.

Qu'en pensez-vous ?

The post Microsoft Places, la nouvelle application boostée à l’IA pour organiser l’agenda des travailleurs hybrides first appeared on IT-Connect.

I. Présentation

Dans cet article, nous allons découvrir Zircolite, un outil d'investigation numérique simple d'utilisation capable de détecter des évènements de sécurité suspects dans différents formats de journaux d'évènements (logs), dont le format .evtx (Windows), les logs Auditd Linux, le format JSON, etc.

Cet outil peut être utilisé lors d'une suspicion d'intrusion sur un composant du système d'information, lors d'un contrôle de routine (threat hunting) sur les journaux ou lors d'une investigation numérique en bonne et due forme. L'intérêt de Zircolite est qu'il est standalone, il ne nécessite pas de serveur web ou base de donnée. Il peut être exécuté sur n'importe quel système Linux munit de Python3, ou sous Windows en tant que simple exécutable. Également, il est très simple d'utilisation et repose sur un standard pour la détection des évènements suspects : les règles Sigma.

II. Détection, investigation numérique et règles Sigma

A. Sigma : règles de détection pour les journaux d'évènements

À l'instar des règles Yara (pour les fichiers) et des règles Snort (pour les trames réseaux), les règles Sigma sont un format unifié de règles de détection orienté sur les journaux d'évènements. Ce format propose une manière uniforme de définition d'un évènement de sécurité à rechercher dans les journaux à l'aide de conditions qui seront utilisées comme critères de recherche et de catégorisation d'un évènement.

Les règles Sigma sont donc prises en compte par un grand nombre d'outils et disposent d'un autre avantage très important : la conversion.

L'écosystème des règles Sigma est, en effet, très intéressant, car il intègre des outils capables de convertir les règles Sigma en requêtes ou commandes spécifiques à certains produits. Par exemple, une requête KQL (pour ELK), Splunk, ou même une requête PowerShell en utilisant le cmdlet "Get-WinEvent". Bref, un sujet très intéressant là aussi. Voici un exemple :

$ sigma-cli convert --target splunk --pipeline splunk_windows /opt/sigma/rules/windows/sysmon/sysmon_file_block_executable.yml
Parsing Sigma rules [####################################] 100%
source="WinEventLog:Microsoft-Windows-Sysmon/Operational" EventCode=27

Je viens de convertir la règle de détection Sigma "sysmon_file_block_executable.yml" en requête Splunk. Dans les faits, Zircolite utilise activement cette possibilité afin de convertir les évènements et les règles de recherche au format SQL/SQLite :

L'occasion ici de rappeler l'importance des journaux d'évènements, tant dans leur configuration, journaliser les bons évènements, notamment ceux de sécurité, que dans leur centralisation/externalisation : ne pas laisser les journaux sur le système qui les a générés, en faire une copie, une sauvegarde, dans un endroit sûr. En cas d'attaque, une équipe d'investigation numérique ou de remédiation aura du mal à vous aider si les journaux permettant de retracer le dérouler d'une cyberattaque ne sont pas complets et à disposition, voire n'ont jamais été produits.

Pour en apprendre plus, je vous recommande notre article sur le sujet de la centralisation des logs :

• Centralisation des logs, un outil pour la sécurité

B. Exemple de règle SIGMA

Pour l'exemple, voici une règle Sigma issue du Github SigmaHQ/Sigma, l'une des places centrales de la collaboration autour des règles de détection Sigma :

title: Suspicious PowerShell Download
id: 3236fcd0-b7e3-4433-b4f8-86ad61a9af2d
related:
  - id: 65531a81-a694-4e31-ae04-f8ba5bc33759
type: derived
status: test
description: Detects suspicious PowerShell download command
references:
  - https://www.trendmicro.com/en_us/research/22/j/lv-ransomware-exploits-proxyshell-in-attack.html
author: Florian Roth (Nextron Systems)
date: 2017/03/05
modified: 2023/10/27
tags:
  - attack.execution
  - attack.t1059.001
logsource:
  product: windows
  category: ps_classic_start
detection:
  selection_webclient:
    Data|contains: 'Net.WebClient'
  selection_download:
    Data|contains:
      - '.DownloadFile('
      - '.DownloadString('
  condition: all of selection_*
falsepositives:
  - PowerShell scripts that download content from the Internet
level: medium

Une explication détaillée des règles Sigma, de leur fonctionnement et de leur utilisation pourrait faire l'objet d'un cours entier, mais nous pouvons au moins nous intéresser aux points suivants :

logsource:
  product: windows
  category: ps_classic_start

Ces instructions permettent de spécifier dans quel type de logs, nous allons chercher notre information, ici pour les produits Windows et la catégorie "ps_classic_start", c'est-à-dire les journaux PowerShell. Une liste complète des logsource et catégories utilisables peut être trouvées sur la documentation officielle Sigma.

Viennent ensuite les conditions de notre recherche :

detection:
  selection_webclient:
    Data|contains: 'Net.WebClient'
  selection_download:
    Data|contains:
      - '.DownloadFile('
      - '.DownloadString('
  condition: all of selection_*

Nous pouvons noter deux conditions ("selection_webclient" et "selection_download") qui doivent toutes deux être remplies ("condition: all of selection_*"). La première indique que le champ "Data" (le contenu de la commande PowerShell analysée) doit contenir "Net.WebClient" et la seconde qu'il doit contenir ".DownloadFile(" ou ".DownloadString('".

Les nombreuses autres instructions de cette règle permettent de spécifier son auteur, son niveau de criticité, d'obtenir des références externes, etc.

Zircolite propose ses propres règles Sigma, mais n'importe quel jeu de règle utilisant ce format peut être utilisé, c'est ce qui fait la grande puissance de l'outil. Vous pouvez retrouver les règles inclus dans Zircolite ici : Github - Zircolite-Rules et localement dans le sous-répertoire d'installation de Zircolite "rules" :

┌──(mdo㉿purple-it-connect)-[/opt/Zircolite]
└─$ ls rules/ -l
total 31172
-rw-r--r-- 1 mdo mdo    2880 Apr  7 10:53 README.md
-rw-r--r-- 1 mdo mdo  155135 Apr  7 10:53 rules_linux.json
-rw-r--r-- 1 mdo mdo 2323097 Apr  7 10:53 rules_windows_generic.json
-rw-r--r-- 1 mdo mdo 3826967 Apr  7 10:53 rules_windows_generic_full.json
-rw-r--r-- 1 mdo mdo 2323097 Apr  7 10:53 rules_windows_generic_high.json
-rw-r--r-- 1 mdo mdo 3617269 Apr  7 10:53 rules_windows_generic_medium.json
-rw-r--r-- 1 mdo mdo 3748878 Apr  7 10:53 rules_windows_generic_pysigma.json
-rw-r--r-- 1 mdo mdo 2329413 Apr  7 10:53 rules_windows_sysmon.json
-rw-r--r-- 1 mdo mdo 3837588 Apr  7 10:53 rules_windows_sysmon_full.json
-rw-r--r-- 1 mdo mdo 2329413 Apr  7 10:53 rules_windows_sysmon_high.json
-rw-r--r-- 1 mdo mdo 3627164 Apr  7 10:53 rules_windows_sysmon_medium.json
-rw-r--r-- 1 mdo mdo 3773777 Apr  7 10:53 rules_windows_sysmon_pysigma.json 

Je vous propose également d'autres sources intéressantes de règles Sigma :

• Les règles Sigma "officielles" de SigmaHQ : Github - SigmaHQ/sigma
• La base de règle de mdecrevoisier : Github - mdecrevoisier/SIGMA-detection-rules

Ces deux sources vous donneront largement de quoi faire, utilisez les notamment pour comprendre le format des règles Sigma et commencer à jouer avec. Gardez en tête cependant que même en utilisant comme base un jeu de règles à jour et éprouvé, les règles les plus efficaces sont celles qui ont été adaptées à votre contexte métier et technique.

Maintenant que nous avons une idée légèrement meilleure de ce que sont les règles Sigma, largement utilisées par les blue teams (équipe de défense et détection) et par Zircolite, passons à l'action.

III. Zircolite : détection d'évènements suspects

A. Installation de Zircolite

Si vous souhaitez utiliser Zircolite depuis un système Windows, il suffit de télécharger l'archive Release du projet et de la décompresser sur votre système :

• Github - Zircolite Release

L'utilisation depuis Windows peut sembler la plus simple si vous souhaitez analyser des journaux Windows. Cependant, Zircolite peut aussi être utilisé en tant que script Python de la même façon. Dès lors, il faut télécharger le code source depuis Github et installer les dépendances Python :

cd /opt
git clone https://github.com/wagga40/Zircolite.git
cd Zircolite
pip install -r requirements.full.txt

Dans le cadre de l'article, je l'installe sur un système Kali Linux Purple, basé sur Debian.

B. Exporter ses logs Windows

Nous sommes prêts à analyser nos journaux d'évènements, mais commençons par les récupérer depuis un système qui nous intéresse. Sur un système Windows, les journaux d'évènements sont nativement stockés dans des fichiers ".evtx". Ceux-ci sont situés dans le répertoire "C:\Windows\System32\winevt\Logs" :

Si l'on souhaite analyser seulement une partie nos journaux, par exemple, d'une date à une autre ou certains évènements ID, nous pouvons effectuer les filtres qui nous intéressent dans l'Observateur d'évènements, puis exporter le résultat. Il faut pour cela se positionner dans le journal à exporter, puis cliquer sur "Enregistrer tous les évènements sous…" dans le panneau droit :

Il est également possible d'exporter les journaux d'évènements dans un fichier ".evtx" via la ligne de commande grâce à l'utilitaire "wevtutil.exe", présent nativement sous Windows. Voici un exemple pour exporter le journal "Sécurité" :

wevtutil export-log Security Z:\Security.evtx

Dans ces deux derniers cas, nous aurons en résultat un fichier ".evtx" à analyser.

Si vous ne souhaitez pas analyser vos propres journaux Windows ou que vous n'en avez pas sous la main, pas de panique. Voici une source qui propose des journaux Windows contenant des évènements de sécurité, des traces d'attaques, etc. :

• Github - EVTX-ATTACK-SAMPLES

Enfin, certains challenges Sherlocks de Hack The Box proposent également des fichiers ".evtx" contenant des traces de cyberattaque. Il s'agit là aussi d'un très bon moyen de s’entraîner.

C. Analyse les logs Windows avec Zircolite

Maintenant que nous avons tout à notre disposition, nous pouvons utiliser Zircolite pour mener une analyse sur ces journaux à l'aide de règles de détection Sigma :

python3 zircolite.py --evtx XXXX.evtx

Sous Windows, le format de la commande est le même :

Z:\zircolite_win> .\zircolite_win_x64_2.20.0.exe --evtx Z:\Windows_SecurityLog.evtx

Il est possible de fournir en entrée à Zircolite un fichier ".evtx," ou un dossier complet contenant un ensemble de fichiers ".evtx". Par exemple, si vous ne savez pas très bien où et quoi chercher et que vous avez copié tout le contenu du répertoire "C:\Windows\System32\winevt\Logs" :

python3 zircolite.py --evtx monRepertoire\

Voici le résultat obtenu lors de l'exécution de Zircolite sous Linux :

Zircolite nous indique ici dans un premier temps le jeu de règles Sigma qu'il va utiliser ("rules/rules_windows_generic_py_sigma.json"). Puis, il va analyser les journaux d'évènements fournit en entrées avec ces règles Sigma et nous afficher les évènements découverts, leur sévérité (High, Medium, Low), et leur nombre d’occurrences.

Parmi les éléments notables de l'exemple ci-dessus, on peut noter l'utilisation de "mimikatz", la réalisation d'une attaque DCSync, une opération de suppression des journaux d'évènements... Pas de doute ici, un attaquant est passé par là !

Si l'on souhaite utiliser un autre jeu de règles (des règles personnalisées par exemple), il est possible de le spécifier avec l'option "-r" :

python3 zircolite.py --evtx /tmp/EVTX-ATTACK-SAMPLES/Persistence/ -r /opt/Zircolite/rules/rules_windows_sysmon_full.json

Ce second jeu de règle utilisé me remonte par exemple 155 évènement suspects contre 47 avec le jeu de règle "par défaut". Une différence assez nette qui montre l'importance de disposer d'un jeu de règles complet et adapté à son contexte et aux évènements recherchés.

Vous remarquerez ici que j'ai utilisé les règles Sigma spécifiques aux évènements Sysmon, je vous invite à consulter notre article dédié pour en savoir plus sur ce qu'est Sysmon et son apport en termes de sécurité :

• Windows - Utilisation de Sysmon pour tracer les activités malveillantes

L'avant-dernière ligne nous indique qu'un fichier de sortie au format JSON a été créé : "detected_events.json". Ce fichier au format JSON est intéressant si l'on souhaite aller plus loin dans l'investigation des évènements découverts :

Le contenu de cette sortie contient de nombreux détails techniques qui permettent d'en savoir plus sur les évènements suspects. Tous ne peuvent être affichés dans la sortie terminale de Zircolite pour des raisons de lisibilité. Dans ce fichier, vous n'aurez donc que des évènements suspects qui méritent une investigation. Zircolite a fait le tri parmi vos milliers de journaux pour n'en sortir que les évènements suspects d'après un ensemble de règle de détection Sigma.

Si vous n'êtes pas familier de la cybersécurité, l'élément principal sur lequel vous pourrez vous baser pour mieux comprendre les évènements suspectés relevés et les règles de détection sont le contenu des champs "references" (souvent des liens vers des blogposts) et les "tags". Ce dernier champ utilise les identifiants TTP du framework MITRE ATT&CK qui contient beaucoup d'informations sur les différents types d'attaques et modes opératoires des attaquants.

N'hésitez pas à utiliser un moteur de recherche ou le site du framework MITRE ATT&CK pour en apprendre plus sur une attaque identifiée par son TTP. Par exemple T1548 - Abuse Elevation Control Mechanism.

Il est aussi possible de ne s'intéresser qu'aux journaux d'évènements au-delà ("--after" ou "-A") ou avant ("--before" ou "-B") une certaine date, ce qui permet de filtrer ces derniers et d'améliorer les performances de recherche :

python3 zircolite.py --evtx /tmp/EVTX-ATTACK-SAMPLES/ -r /opt/Zircolite/rules/rules_windows_sysmon_full.json -A 2019-05-11T17:58:00 -B 2021-06-02T23:00:00

Le format à respecter pour spécifier une date est le suivant "<AAA-MM-DD>T<HH:MM:SS>", le "T" étant une valeur fixe. C'est notamment utile lorsque nous disposons de premières informations temporelles nous permettant d'orienter nos recherches.

D. Traiter la sortie JSON de Zircolite

Le format JSON étant un standard pris en charge par de nombreux outils, cela permet de faciliter la lecture et le traitement de ces données. Pour une utilisation et investigation immédiate sur ces évènements, nous pouvons, par exemple, utiliser la commande "jq", qui permet de parser, trier et filtrer les données JSON :

• Lister tous les évènements suspects, les tags associés (TTP), ainsi que l'heure et l'hôte pour chaque occurrence :

jq '.[] | {title: .title, tags: .tags, matches: [.matches[] | {Time:.UtcTime, Computer:.Computer}]}' /tmp/zircolite_persistence.json

Voici un résultat possible de ce filtre "jq" :

• Obtenir tous les évènements qui concernent un système précis :

jq '.[] | {title: .title, tags: .tags, matches: [.matches[] | select( .Computer == "PC01.example.corp")]}' /tmp/zircolite_persistence.json

• Afficher les évènements avec un tri par date, pour tenter d'établir un séquençage des évènements :

jq '[.[].matches[]] | sort_by(.SystemTime) ' /tmp/zircolite_persistence.json

• Même chose avec un filtre sur le nom d'un système précis :

jq '[.[].matches[]| select( .Computer == "PC01.example.corp")] | sort_by(.SystemTime)' /tmp/zircolite_persistence.json

Cette dernière commande est la plus parlante, puisque l'on commence à avoir un ordonnancement dans le temps des évènements suspects sur un système précis. Comme vous le voyez, connaître les subtilités du format JSON et manier "jq" est nécessaire ici. Sachez également que Zircolite peut directement envoyer les journaux obtenus par son analyse à différents composants comme un serveur Splunk ou ELK.

III. Utiliser le rapport web de Zircolite

Un dernier point important qu'il faut mentionner lorsque l'on parle de Zircolite est son interface web (autonome, elle aussi). Celle-ci peut être générée pour chaque analyse et contient une présentation graphique des évènements de sécurité relevés. Pour générer ce rapport au format web, il faut utiliser l'option "--package" :

python3 zircolite.py --evtx /tmp/EVTX-ATTACK-SAMPLES/ -r /opt/Zircolite/rules/rules_windows_sysmon_full.json --package
[...]
[+] Results written in : detected_events.json
[+] Generating ZircoGui package to : zircogui-output-6QYQ.zip
[+] Cleaning 

Zircolite crée alors une archive contenant des fichiers .css, .js, et .html, qu'il faut décompresser :

unzip zircogui-output-6QYQ.zip -d /tmp/Z1
firefox /tmp/Z1/index.html

Dès lors, la page web peut-être ouverte avec n'importe quel navigateur. La première vue que nous obtenons est une synthèse des évènements suspects identifiés par Zircolite dans les journaux analysés. On y trouve notamment une catégorisation de ces évènements basée sur le framework MITRE ATT&CK et par niveau de criticité :

Plus bas dans cette même page, nous pouvons obtenir une timeline des évènements relevés. Cette vue est très intéressante pour obtenir rapidement une vue d'ensemble de l'attaque (si l'on dispose de tous les journaux et des bonnes règles Sigma bien sûr) :

Chaque évènement est positionné dans le temps par rapport aux autres (grâce à l'horodatage de chacun) et catégorisé en fonction de sa typologie avec les catégories du framework MITRE ATT&CK.

Dans le cadre d'une investigation numérique, l'établissement d'une timeline de l'attaque est l'un des objectifs principaux de l'équipe forensic. L'idée de pouvoir identifier très rapidement le séquençage des évènements pour mieux comprendre l'objectif de l'attaquant et son mode opératoire, ce qui permet de prendre les bonnes décisions concernant la suite des évènements.

Nous pouvons alors sélectionner n'importe lequel de ces évènements pour avoir des informations plus précises sur celui-ci (cliquez sur l'image pour zoomer) :

Ce tableau contient de nombreuses colonnes et vous avez la possibilité de les étudier en utilisant la barre de défilement horizontale. Ces colonnes contiennent l'ensemble des informations de l'évènement sélectionné et initialement stocké dans le fichier ".evtx". Il s'agit des mêmes informations que celles présentes dans le fichier JSON étudié précédemment, mais affichées de manière plus lisible dans une page web (cliquez sur l'image pour zoomer) :

Cette simple vue nous permet, par exemple, de savoir que le processus "MSSQL" a exécuté un script via "cmd.exe" avec les droits de l'utilisateur "sqlsvc" sur le poste "MSEDGEWIN10". Cette vue par tableau permet également d'effectuer de nombreux filtres, à l'instar de ce que nous avons fait via "jq" sur le fichier JSON généré par Zircolite.

Le dernier élément notable de ce rapport web est la matrice du framework MITRE ATT&CK, qui montre tous les TTP détectés dans l'ensemble de journaux fournis en entrées (cliquez sur l'image pour zoomer) :

Là aussi, cette vue d'ensemble aide à se faire très rapidement une idée de la portée de l'attaque et des différentes opérations de l'attaquant sur les systèmes concernés.

IV. Conclusion

Dans cet article, nous avons fait le tour de Zircolite au travers des cas concrets sur des journaux d'évènements Windows. Nous avons notamment vu que Zircolite peut être utilisé de façon très simple en ligne de commande afin d'identifier des évènements suspects, d'étudier les détails de ces évènements et d'offrir une vue d'ensemble avec timeline d'une cyberattaque.

Il reste naturellement beaucoup de choses à découvrir au sujet de l'investigation numérique (forensic), des règles Sigma et de Zircolite. Néanmoins, le contenu de l'article devrait vous donner les bases de son utilisation, utiles pour l'étudier plus en profondeur et l'utiliser quotidiennement ou occasionnellement. Également, n'oubliez pas que Zircolite permet de traiter d'autres formats de journaux comme les journaux Sysmon for Linux, auditd, JSON, JSONL, etc... Même si cela n'a pas été traité dans l'article.

Au-delà de l'outil, cet article a permis de rappeler un grand nombre d'éléments concernant la sécurité d'un système unique ou de tout un système d'information : le durcissement des configurations pour permettre la journalisation des évènements importants de sécurité, la sauvegarde et centralisation de ces évènements, la capacité à pouvoir intervenir rapidement suite à une cyberattaque et commencer les premières investigations, etc.

N'hésitez pas à donner votre avis dans les commentaires ou sur notre Discord !

The post Comment effectuer une investigation numérique sur les journaux d’évènements Windows avec Zircolite ? first appeared on IT-Connect.

Le code erreur 0x80070426 apparaît dans Windows lorsqu’un utilisateur tente de mettre à jour le système d’exploitation Windows ou d’installer des mises à jour logicielles et qu’un problème se produit.
En général, ce problème se produit lors de la phase d’installation et donc la mise à jour est en échec d’installation.

Dans ce guide, je vous donne plusieurs solutions pour résoudre l’erreur 0x80070426 sur Windows Update.

Résoudre l’erreur 0x80070426 sur Windows Update

Réparer les fichiers systèmes avec SFC et DISM

Pour réparer les fichiers systèmes de Windows 10 ou Windows 11, on utilise les utilitaires SFC (vérificateur de fichiers systèmes) et DISM.
Ces deux outils s’utilisent en invite de commandes.

• Ouvrez une invite de commandes :
  • Comment ouvrir une invite de commandes sur Windows 10
  • Comment ouvrir Windows Terminal sur Windows 11
• Ensuite on peut utiliser DISM pour réparer les images de Windows 10/11. Pour cela, utilisez la commande suivante :

Dism /Online /Cleanup-Image /CheckHealth

• Puis enchaînez avec une vérification et réparation des fichiers corrompus et manquants avec l’outil SFC. Pour cela, saisissez :

sfc /scannow

Laisse le vérificateur de fichiers systèmes analyser Windows 10 ou Windows 11.
Enfin si des fichiers systèmes sont corrompus, SFC tente de les réparer.

Plus de détails dans l’article suivant :

Vider le cache Windows Update et réinitialiser les services Windows Update

En cas de corruption de Windows Update, vous pouvez vider le cache Windows Update et réinitialiser les services.
Suivez ces instructions :

• Ouvrez une invite de commandes en administrateur
• Puis copiez/collez le contenu suivant :

net stop wuauserv
net stop cryptSvc
net stop bits
net stop msiserver
ren C:\Windows\SoftwareDistribution SoftwareDistribution.old
ren C:\Windows\System32\catroot2 catroot2.old
net start wuauserv
net start cryptSvc
net start bits
net start msiserver

• Redémarrez le PC afin de prendre en compte les changements
• Puis relancez les mises à jour Windows Update

Un article existe sur le site dédié avec d’autres méthodes pour vider le catalogue Windows Update et résoudre les erreurs d’installation :

Démarrer Windows en mode normal

Le démarrage sélectif permet de désactiver des applications et services Windows afin d’alléger le démarrage.
Si vous avez suivi un mauvais tutoriel et désactiver des services Windows, cela peut causer des dysfonctionnements.

Il faut alors remettre le mode de démarrage en démarrage normal.
Pour cela :

• Sur votre clavier, appuyez sur la touche + R
• Puis saisissez msconfig
• Ensuite dans général, cochez démarrage normal
• Cliquez sur OK puis redémarre le PC ensuite

Plus de détails et explications :

Windows Repair

Windows Repair est un utilitaire gratuit qui permet de réparer des composants et fonctionnalités de Windows.

• Téléchargez Windows Repair puis installez le

• Windows Repair se lance automatique, acceptez les conditions d’utilisation

• Toutefois, il est conseillé de faire les réparations en mode sans échec. Pour cela, en bas, cliquez sur Reboot To Safe Mode.. ou suivez ce guide complet : Redémarrez Windows en mode sans échec

• Puis relancez Windows Repair
• Cliquez sur l’onglet Réparation – Principal
• La liste des type de réparation de Windows s’affiche : cliquez sur Préréglages : Réparations communes

• Vous obtenez alors la liste ci-dessous, laissez les éléments cochés

• Enfin cliquez en bas à droite sur Démarrer les réparations
• L’opération se lance avec une succession d’étape… des fenêtres noires peuvent s’ouvrir ou se refermer

• Laissez terminer, un message vous indique que la réparation Windows Repair est terminée
• Redémarrez le PC en mode normal de Windows

Plus de détails dans ce tutoriel complet :

Réparer Windows 10 ou Windows 11

Lorsque Windows est totalement endommagé et que les problèmes sont trop nombreux, vous pouvez tenter de réparer Windows 10, 11 sans perte de données et en conservant les programmes installés.
Cela permet de rétablir un système fonctionnel à partir des fichiers ISO et images de Windows.
La procédure est décrite pas à pas dans cet article :

• Comment réparer Windows 10 sans perte de données
• Comment réparer Windows 11 sans perte de données

Il s’agit d’une opération de réinitialisation et de remise à zéro qui supprime les applications et remet le système à son état d’origine.
C’est la solution radicale pour retrouver un système fonctionnel :

• Comment réinitialiser Windows 10
• Comment réinitialiser Windows 11

L’article Résoudre l’erreur 0x80070426 sur Windows Update est apparu en premier sur malekal.com.

Si votre routeur tourne sous Tomato vous pouvez nativement allumer une machine à distance depuis l'interface d'administration (menu Tools > Wake On Lan). Je vous partageais d'ailleurs une astuce en 2013 (oui!) pour que vos machines soient persistantes dans cette liste WOL.

Si vous préférez utiliser SSH pour réveiller une machine avec Wake On LAN (WOL) c'est aussi possible, voyons comment.

Un peu de bash

Lorsque je ne suis pas chez moi c'est toujours en SSH avec Bitvise SSH Client que je me connecte à mon routeur. Je fais transiter ensuite différents ports dans le tunnel SSH pour joindre d'autres machines.

La commande native "ether-wake" permet de réveiller un périphérique (ordinateur fixe, laptop... peu importe).

Voici ce que j'utilise pour cela :

#!/bin/sh
/usr/sbin/ether-wake A1:B2:C3:D4:E5:F6

A1:B2:C3:D4:E5:F6 à remplacer par l'adresse MAC de la machine à réveiller

Je stocke ce script à l'emplacement suivant :

/opt/sbin/wol

Comme ce chemin est dans la variable $PATH de Tomato je n'ai qu'à saisir "wol" dans mon terminal SSH et paf ça se lance.

Pour que ça fonctionne : la persistance

Le répertoire /opt/sbin n'est pas persistant, donc à chaque reboot il faudra recommencer.

Pour éviter cette problématique, plusieurs options :

• utiliser un script de démarrage (Administration > Scripts > Init) qui va créer le script bash et son contenu
• stocker le script en partition /jffs (comment l'activer)
• stocker le script sur une clé USB et le copier au démarrage grâce un script (tutoriel)
• stocker le script sur une clé USB montée sur /opt/sbin avec Entware installé (opkg)

C'est cette dernière méthode que j'utilise et que je vous conseille.

J'ai donc une clé USB connectée sur laquelle j'ai crée 2 partitions :

• une en FAT32 pour faciliter la copie de données avec Windows si besoin,
• une en EXT4 sur laquelle j'ai installé Entware

Voyons le résultat des partitions (cfdisk /dev/sda) :

Les 2 partitions de ma clé USB sont montées dans le chemin par défaut /tmp/mnt :

# df -hT | grep CLE | awk '{print $1, $2, $7}'

/dev/sda2 ext4 /tmp/mnt/CLEUSB_OPT
/dev/sda1 vfat /tmp/mnt/CLEUSB

Mémorisez le point de montage pour l'étape suivante. La partition VFAT (ou FAT32) ne nous intéresse pas ici.

Activer le montage automatique +script

Je m'assure que l'option pour monter les périphériques USB au boot soit cochée (USB and NAS > Automount).

Enfin j'ajoute un script dans la section "run after mounting" pour faire pointer le répertoire /opt/sbin vers celui de la clé USB (voir doc)  :

mount -o bind /tmp/mnt/CLEUSB_OPT /opt

Et voilà ! Maintenant tout sera automatique quand votre routeur démarre, ou redémarre.

Vérifiez quand même que tout fonctionne bien en provoquant un redémarrage de votre routeur (saisir "reboot" en SSH).

Conclusion

Rien de compliqué aujourd'hui, c'est plus du partage pour piquer votre curiosité qu'une opération très technique. Vous pouvez maintenant stocker plein de scripts et les appeler directement par leur nom sans préciser le chemin.

Vérifiez toujours si le nom que vous choisissez n'existe pas déjà pour une commande/binaire système. Auquel cas vous pourriez casser des choses... c'est aussi pour cette raison que je préfère utiliser une clé USB plutôt que la partition JFFS. En effet, il suffit de retirer la clé pour avoir un démarrage sans les points de montages.

Libre à faire de faire plusieurs scripts pour réveiller telle ou telle machine, ou bien menu en bash, ou encore des arguments de sélection.

Vous n'aimez pas le RSS : abonnez-vous par email
Vous devriez me suivre sur Twitter : @xhark

---

Article original écrit par Mr Xhark publié sur Blogmotion le 14/05/2024 | Pas de commentaire |
Attention : l'intégralité de ce billet est protégée par la licence Creative Commons

Cet article [Tomato] Allumer un ordinateur à distance (bash) provient de : on Blogmotion.

Ce lundi 13 mai 2024, à l'occasion de son événement "Spring Update", OpenAI a fait plusieurs annonces dont l'arrivée d'une application desktop officielle pour deux systèmes d'exploitation : Windows et macOS. Faisons le point.

Lors de son événement "Spring Update", très attendu par les amateurs d'IA, OpenAI a dévoilé son nouveau modèle de langage GPT-4o, accessible gratuitement aux utilisateurs dans une certaine limite, ainsi que deux applications desktop : l'une pour Windows, l'autre pour macOS. Cela signifie qu'il n'est plus nécessaire d'utiliser systématiquement un navigateur pour converser avec le chatbot.

• OpenAI lance son nouveau modèle de langage GPT-4o

Les utilisateurs de macOS ont le privilège de pouvoir installer et télécharger cette application dès maintenant. Mais, attention, l'accès à cette application est réservé aux utilisateurs ayant un abonnement ChatGPT Plus, pour le moment. Ceci devrait évoluer par la suite.

Tandis que les utilisateurs de Windows vont devoir patienter, comme nous pouvons le lire sur le site d'OpenAI : "Nous prévoyons également de lancer une version Windows dans le courant de l'année." - Vous l'aurez compris, OpenAI a officialisé cette application, mais elle n'est pas encore disponible sur Windows. Ceci est quand même étonnant quand on sait que Microsoft a investi des milliards de dollars pour financer les projets d'OpenAI...

OpenAI a également dévoilé une nouvelle interface pour ChatGPT conçue pour être plus conviviale et rendre plus agréable les conversations avec le chatbot. "Vous remarquerez un nouvel écran d'accueil, une nouvelle présentation des messages et bien plus encore.", précise OpenAI.

Comment télécharger ChatGPT sur macOS ?

L'application ChatGPT n'est pas disponible sur l'App Store officiel. En effet, l'installeur pour Mac est accessible depuis le site d'OpenAI, au sein de votre compte.

OpenAI a travaillé sur une application complète, bien intégrée à macOS, et qui n'est pas une adaptation de la version Web de ChatGPT. Par exemple, les utilisateurs peuvent solliciter l'IA à tout moment en utilisant le raccourci clavier "Option + Espace" qui affiche un menu similaire à Spotlight.

Qu'en pensez-vous ?

The post ChatGPT : OpenAI annonce une application officielle pour Mac (et Windows) first appeared on IT-Connect.

Lors de son événement "Spring Update", OpenAI a dévoilé son nouveau modèle de langage : GPT-4o. Dérivé de GPT-4, il est accessible à tout le monde et gratuitement ! Faisons le point.

GPT-4o est en quelque sorte une évolution du modèle de langage GPT-4, ce dernier étant déjà accessible depuis plusieurs mois aux abonnés payants de ChatGPT. OpenAI affirme que GPT-4o est plus rapide et plus "intelligent", mais aussi meilleur en multimodal. D'ailleurs, c'est de là que vient son nom, car le "o" signifie "omnimodel", faisant référence au fait que c'est un modèle multimodal.

GPT-4o est plus pertinent dans l'analyse de données et il est doté de meilleures capacités en interprétation de texte, d’image et d’audio. "Par exemple, vous pouvez maintenant prendre une photo d'un menu dans une autre langue et parler à GPT-4o pour le traduire, en apprendre davantage sur l'histoire et la signification de la nourriture, et obtenir des recommandations.", peut-on lire dans l'annonce officielle.

• OpenAI annonce une application officielle pour Windows et Mac

GPT-4o est gratuit pour tous les utilisateurs !

Jusqu'à présent, il convenait de disposer d'un abonnement payant à ChatGPT Plus pour pouvoir utiliser le modèle GPT-4 par l'intermédiaire de ChatGPT ou de son API. Les utilisateurs gratuits, quant à eux, étaient limités à l'utilisation de GPT-3.5.

Désormais, GPT-4o est disponible gratuitement et pour tout le monde : une excellente nouvelle pour tester sans frais ce nouveau modèle. Ceux qui paient seront moins limités et priorisés : "Les utilisateurs Plus auront une limite de messages jusqu'à 5 fois supérieure à celle des utilisateurs gratuits, et les utilisateurs Team et Enterprise auront des limites encore plus élevées.", peut-on lire sur le site d'OpenAI.

Évolution de ChatGPT Voice

OpenAI a également annoncé des nouveautés pour ChatGPT Voice, la fonction vocale de ChatGPT. Plutôt que de converser à l'écrit avec ChatGPT, vous pouvez l'utiliser avec la voix, comme les autres assistants vocaux du marché. La nouvelle version sera plus rapide et plus naturelle, avec un temps de réponse moyen de 320 millisecondes, similaire à celui d'un humain dans une conversation. Dans les prochaines semaines, elle sera disponible en version alpha pour les abonnés à ChatGPT Plus.

OpenAI veut frapper fort en s'appuyant sur GPT-4o pour ChatGPT Voice, de façon à ce que le même réseau neuronal soit utilisé pour traiter, en temps réel, les entrées et sorties pour le texte, l'audio et la vision. De plus, il sera capable de détecter les émotions des humains.

"Par exemple, vous pourriez montrer à ChatGPT un match de sport en direct et lui demander de vous en expliquer les règles.", peut-on lire. OpenAI a effectué plusieurs démonstrations impressionnantes en direct et mis en ligne cette vidéo :

Say hello to GPT-4o, our new flagship model which can reason across audio, vision, and text in real time: https://t.co/MYHZB79UqN

Text and image input rolling out today in API and ChatGPT with voice and video in the coming weeks. pic.twitter.com/uuthKZyzYx

— OpenAI (@OpenAI) May 13, 2024

D'ailleurs, dans quelques heures, Google doit annoncer des nouveautés pour son IA générative, Gemini, alors forcément, l'entreprise américaine est attendue au tournant...

The post ChatGPT : OpenAI lance GPT-4o, un nouveau modèle d’IA générative accessible gratuitement ! first appeared on IT-Connect.

Lens is an open-source desktop application aimed at managing Kubernetes clusters. It offers a graphical user interface as an alternative to working directly with the Kubernetes command-line interface (kubectl). Lens includes features for monitoring cluster resources, viewing logs, and accessing a built-in terminal. The new Lens 2024 Early Access version introduces a completely redesigned user interface with a more streamlined and intuitive layout, tabbed navigation, and a unified navigator for managing all clusters and resources.

Dell a envoyé un e-mail à ses clients pour les avertir d'une fuite de données : un pirate est parvenu à voler les informations de 49 millions de clients. Voici ce qu'il faut savoir !

Il y a quelques jours, Dell a alerté ses clients qu'un tiers non autorisé était parvenu à accéder et à exfiltrer les informations personnelles de 49 millions de clients. Par l'intermédiaire de ce portail Dell, le pirate est parvenu à accéder aux informations suivantes : nom, adresse physique et des données sur le matériel Dell. En effet, pour chaque client, il y a un récapitulatif des commandes Dell, avec le nom du produit, la date de la commande, les détails sur la garantie ou encore le Service Tag de chaque produit, c'est-à-dire le numéro de série.

Cette notification envoyée par e-mail fait suite à l'annonce publiée sur Breach Forums le 28 avril dernier, par un cybercriminel surnommé Menelik. C'est à cette date qu'il a mis en vente la base de données avec les clients de Dell. D'après lui, il s'agit d'informations correspondantes aux clients Dell entre 2017 et 2024. Voici un aperçu de cette annonce :

L'origine de cette fuite de données

Les journalistes du site BleepingComputer sont parvenus à échanger avec Menelik, le cybercriminel à l'origine de cette fuite de données. Il a indiqué qu'il avait découvert et utilisé un portail Dell dédié aux partenaires et aux revendeurs pour accéder aux données.

Pour obtenir un accès à ce portail, il a créé plusieurs comptes avec des noms d'entreprises fictifs et il a eu accès dans les 48 heures. D'après lui, il suffit de compléter un formulaire et de patienter que la demande soit approuvée. Ce qui interroge sur le processus de vérification de Dell...

Il a créé un programme pour générer des codes Service Tag sur 7 caractères afin de pouvoir interroger le portail par l'intermédiaire de l'API. Résultat, il a pu récolter les informations de 49 millions de clients en générant 5 000 requêtes par minute pendant trois semaines. Dell n'a jamais bloqué les tentatives effectuées via l'API.

Il a également notifié Dell pour avertir l'entreprise américaine de la présence de cette vulnérabilité dans son système. Néanmoins, l'entreprise américaine n'a pas répondu. D'ailleurs, Dell a indiqué avoir détecté cet incident de sécurité avant de recevoir l'e-mail de Menelik. Une enquête judiciaire serait ouverte pour mener des investigations et tenter d'identifier l'auteur.

Source

The post Fuite de données Dell : un pirate est parvenu à voler les informations de 49 millions de clients ! first appeared on IT-Connect.

Google a mis en ligne une nouvelle mise à jour de sécurité pour son navigateur Chrome dans le but de protéger les utilisateurs de la vulnérabilité CVE-2024-4671. Il s'agit de la 5ème faille de sécurité zero-day exploitée dans le cadre d'attaques patchée depuis le début de l'année 2024 dans Google Chrome.

Associée à la référence CVE-2024-4671, cette vulnérabilité de type "use after free" est présente dans le composant Visuals de Google Chrome. Ce composant est utilisé pour le rendu et l'affichage du contenu au sein des onglets et fenêtres de Google Chrome.

Reporté à Google le 07 mai 2024 par un utilisateur anonyme, Google a corrigé cette faille de sécurité déjà exploitée et pour laquelle il existerait déjà un exploit : "Google sait qu'il existe un programme d'exploitation pour CVE-2024-4671 dans la nature.", peut-on lire dans le bulletin de sécurité de l'entreprise américaine. Comme à son habitude, et dans le but de protéger ses utilisateurs, Google n'a pas fourni d'autres précisions ni détails techniques.

Cette vulnérabilité de type "use after free" est liée à l'utilisation de la mémoire par le programme. Même s'il ne s'agit que d'hypothèses, cette vulnérabilité pourrait permettre une exécution de code à distance, une fuite d'informations ou un déni de service.

Comment se protéger de la CVE-2024-4671 ?

Les utilisateurs de Google Chrome sur Windows, macOS et Linux sont affectés par cette faille de sécurité. Google a mis en ligne les versions 124.0.6367.201/.202 pour Mac et Windows, ainsi que la version 124.0.6367.201 pour Linux. Ces versions sont disponibles depuis le 9 mai 2024.

Désormais, il ne vous reste plus qu'à effectuer la mise à jour du navigateur Chrome sur votre machine. Rendez-vous dans le menu avec les trois points verticaux, puis sous "Aide", cliquez sur "A propos de Google Chrome".

En 2024, c'est la 5ème faille de sécurité zero-day corrigée par Google dans son navigateur. La précédente a été découverte et exploitée à l'occasion de la compétition de hacking Pwn2Own 2024, comme nous l'évoquions dans cet article publié sur notre site.

Source

The post CVE-2024-4671 – La cinquième faille zero-day de 2024 corrigée dans Google Chrome ! first appeared on IT-Connect.

I. Présentation

Dans ce tutoriel, nous allons apprendre à exporter et importer une stratégie Intune basée sur le "Catalogue des paramètres", ce qui va permettre de transférer facilement un profil de configuration d'un tenant à un autre. Ceci peut aussi être utile pour sauvegarder une stratégie avant d'effectuer des modifications importantes. Une astuce bien pratique.

• Cliquez ici pour regarder la vidéo

Depuis octobre 2023 et la mise à jour de service Intune 2310, Intune offre la possibilité aux administrateurs Intune d'exporter et d'importer facilement des stratégies Intune. C'est un gain de temps et peut éviter de devoir créer des stratégies "from scratch".

Mais, attention, pour le moment, la méthode disponible via le Centre d'administration Intune s'applique uniquement sur les profils de configuration basés sur le "Catalogue des paramètres". Autrement dit, sur le type de profil "Catalogue des paramètres" (Catalog settings) visible sur l'image ci-dessous. Si vous avez besoin d'aller plus loin dans l'export/import de configuration Intune : consultez le lien présent à la fin de cet article.

II. Exporter un profil de configuration Intune

Pour cette démonstration, nous allons exporter la stratégie "Windows Update - Désactiver option "Interrompre les mises à jour" présente sur un tenant Microsoft 365 puis l'importer sur un autre tenant Microsoft 365. Il s'agit d'une stratégie pour Windows, mais ceci fonctionne aussi avec les autres plateformes.

Tout d'abord, connectez-vous au Centre d'administration Intune puis cliquez sur "Appareils" dans le menu latéral.

• intune.microsoft.com

Naviguez sur l'interface de cette façon :

1 - Cliquez sur "Profils de configuration".

2 - Repérez la stratégie à exporter dans la liste.

3 - Au bout de la ligne correspondante à la stratégie à exporter, cliquez sur le bouton "...".

4 - Cliquez sur "Exporter JSON". Il y a aussi une autre option nommée "Dupliqué", qui permet, comme son nom l'indique, de créer une copie d'une stratégie.

Un pop-up nommé "Télécharger la stratégie" apparaît l'écran. Cliquez sur "Télécharger" pour valider.

Quelques secondes plus tard, un nouveau fichier au format JSON a été téléchargé sur votre machine. La notification "Exporter Azure Policy" est également visible dans le portail Intune.

Par curiosité, vous pouvez ouvrir ce fichier JSON si vous le souhaitez.

III. Importer un profil de configuration Intune

Désormais, nous allons voir comment importer notre stratégie sur un nouveau tenant Microsoft 365, ce qui évite de repartir de zéro ! Sachez que vous pouvez aussi exporter une stratégie et la réimporter sur le même tenant, ce n'est pas un problème. Mais, dans ce cas, pensez aussi à l'option "Dupliqué".

Toujours à partir du portail Intune, suivez le chemin suivant :

1 - Cliquez sur "Appareils" dans le menu de gauche.

2 - Cliquez sur "Configuration".

3 - Cliquez sur l'entrée "Créer" dans le menu.

4 - Choisissez l'option "Importation d'Azure Policy".

Un panneau latéral va s'ouvrir sur la droite. À ce moment-là, vous pourrez sélectionner le fichier JSON à importer. Ce sera l'occasion de sélectionner le fichier de stratégie obtenu quelques minutes auparavant.

Vous devez également nommer la stratégie en remplissant le champ "Nouveau nom" et associer une description. Puis, cliquez sur le bouton "Enregistrer".

Voilà, la stratégie a été importée :

Cliquez sur cette stratégie dans la liste afin de visualiser ses propriétés et son contenu. Vous pourrez constater que l'ensemble des paramètres configurés dans la stratégie sont bien présents. Néanmoins, et c'est plutôt logique, les affectations ne sont pas copiées. C'est à vous d'éditer la stratégie pour l'affecter à un ou plusieurs groupes.

Voilà, vous venez d'importer une stratégie Intune !

IV. Conclusion

À l'avenir, il est fort probable que Microsoft améliore les capacités d'export et d'import intégrées au Centre d'administration Intune. En attendant, vous devez vous satisfaire de la méthode évoquée dans cet article, ou passer par PowerShell grâce au module "Microsoft Graph".

Vous pouvez aussi utiliser l'outil open source IntuneManagement présenté dans l'article ci-dessous et qui permet d'exporter et d'importer toute sa configuration Intune !

• Intune - Prise en main de l'outil IntuneManagement

The post Intune – Exporter et importer une stratégie « Catalogue des paramètres » first appeared on IT-Connect.

I. Présentation

Dans ce tutoriel, nous allons découvrir un outil communautaire baptisé IntuneManagement, créé par Mikael Karlsson. Cet outil très puissant s'appuie sur PowerShell pour interroger Microsoft Graph et les API Azure pour permettre une gestion complète de ses configurations Intune !

• Cliquez ici pour regarder la vidéo

L'outil IntuneManagement va se connecter à l'environnement Intune de votre tenant Microsoft 365 dans le but de vous permettre d'accomplir certaines tâches non prises en charge ou partiellement prises en charge par le Centre d'administration Intune. Vous pouvez l'utiliser pour exporter et importer vos configurations (ou sauvegarder et restaurer), que ce soit des stratégies de conformité, des stratégies personnalisées, des scripts PowerShell, des applications Intune, ou même des stratégies d'accès conditionnels. Cet outil très puissant et complet peut être utile dans différents scénarios, y compris pour la migration d'un tenant vers un autre.

• GitHub - IntuneManagement

Si vous souhaitez simplement exporter et importer des stratégies Intune de type "Catalogue des paramètres", vous pouvez lire ce tutoriel :

• Intune : exporter et importer une stratégie

II. Télécharger et installer IntuneManagement

Vous devez commencer par télécharger la dernière release d'IntuneManagement à partir du GitHub officiel du projet. Vous obtiendrez une archive ZIP qu'il faudra décompresser afin d'obtenir un répertoire avec l'ensemble des fichiers du projet, notamment un ensemble de scripts.

Il existe plusieurs scripts permettant de lancer l'outil : "Start.cmd", "Start-WithApp.cmd", "Start-WithConsole.cmd", "Start-WithJson.cmd", et "Start-IntuneManagement.ps1". Tout dépend de l'usage que vous souhaitez faire de l'outil et j'avoue ne pas avoir testé l'ensemble de ces scripts. Ici, nous allons exécuter le script nommé "Start-IntuneManagement.ps1" (j'ai rencontré des problèmes de connexion via "Start.cmd" avec la version 3.9.6).

.\Start-IntuneManagement.ps1

L'outil va se charger et ouvrir une interface graphique intitulée "Intune Manager". Commencez par accepter les conditions d'utilisation en cochant la case "Accept conditions", puis validez.

Ensuite, vous aurez accès à l'interface de l'application, mais à aucune donnée, car il faut s'authentifier auprès du tenant Microsoft 365. Cliquez sur le bouton en haut à droite afin de lancer la connexion. Connectez-vous à votre tenant. L'outil prend en charge les comptes protégés par MFA.

Une fois que la connexion est effectuée, vous obtiendrez une erreur parce que l'outil n'a pas les permissions pour accéder aux données de votre environnement, notamment via Microsoft Graph. C'est pour cette raison que tous les intitulés sont en rouge dans le menu présent sur la gauche. Cliquez sur votre avatar en haut à droite puis sur "Request consent".

Ensuite, vous devrez valider l'accès pour que cette application ait les permissions suffisantes pour récupérer les données de configuration Intune de votre tenant. Depuis la version 3.9.6, l'outil s'appuie sur Microsoft Graph pour se connecter aux services Microsoft.

III. Prise en main d'IntuneManagement

Désormais, vous pouvez naviguer dans les différentes sections du menu latéral présent sur la gauche. Comme vous pouvez le constater, la liste est longue. À chaque fois, l'outil vous propose plusieurs actions dont la possibilité d'exporter, d'importer et de documenter.

A. Exporter des configurations

Si nous prenons l'exemple de la section "Settings Catalog", elle permet d'obtenir la liste des stratégies de ce type présente sur votre environnement Intune. Vous pouvez exporter chaque stratégie, comme le propose le Centre d'administration Intune, à la différence que là, vous pouvez faire un export en masse de vos stratégies.

Nous pouvons sélectionner toutes les stratégies à exporter puis cliquer sur "Export".

Ensuite, nous devons choisir le répertoire dans lequel effectuer l'export, et se chargera de l'alimenter. L'option "Add company name to path" permet de créer un dossier avec le nom de l'entreprise (définie sur le tenant) afin de stocker les données exportées. Nous avons aussi la possibilité d'exporter les affectations, contrairement à ce que propose l'outil d'export de Microsoft intégré à Intune, via l'option "Export Assignments".

Pour déclencher l'export, il convient de cliquer sur le bouton "Export Selected", ou alors sur "Export All" pour exporter toutes les stratégies (peu importe la sélection effectuée au préalable).

Au final, nous obtenons un répertoire nommé "IT-Connect Lab" (nom de l'entreprise) avec un sous-répertoire "SettingsCatalog" qui contient un fichier JSON par stratégie.

Pour chaque section, nous pouvons visualiser la configuration et l'exporter en quelques clics. C'est vraiment la grande force de cet outil ! Ci-dessous, nous pouvons voir qu'il est possible d'exporter les stratégies de configuration d'appareil, via la section "Device Configuration", ce qui n'est pas possible via le portail Intune.

B. Importer des configurations Intune

L'application Intune Manager est capable aussi d'importer des configurations sur votre environnement Intune. Pour explorer cette fonctionnalité, nous allons importer des stratégies Intune qui correspondent aux bonnes pratiques de configuration de Windows issues des guides CIS Benchmark.

Nous allons télécharger les fichiers de stratégies, au format JSON, depuis ce dépôt GitHub communautaire :

• Windows Hardening avec Intune

Ces stratégies vont nous permettre de renforcer la sécurité de nos appareils Windows 10 et Windows 11 (à tester avant d'appliquer en production, bien entendu).

Il s'agit de stratégies de type "Catalogue des paramètres", donc nous pourrions les importer via le portail Intune. Néanmoins, Intune Manager va nous permettre un import en masse.

Il suffit de se rendre dans "Settings Catalog" dans l'application puis de cliquer sur "Import". Ensuite, nous devons sélectionner le dossier qui contient les fichiers JSON à importer. Plusieurs options sont proposées, notamment pour décider d'importer ou non les tags et les affectations.

Remarque : l'option "Compare" de l'outil vous permet de comparer une stratégie existante avec une stratégie au format JSON, ce qui permet de comparer facilement deux versions d'une même stratégie. Vous pouvez visualiser facilement les différences entre les deux versions.

Quelques secondes plus tard, ces stratégies sont importées dans Intune et visibles à partir du portail. Il ne reste plus qu'à en profiter !

C. Export en masse de la configuration Intune

Pour finir sur les fonctionnalités d'export (et d'import), nous allons évoquer la fonctionnalité de "Bulk Export" de l'outil, accessible via le menu "Bulk" ! Elle va vous permettre d'exporter tout ou partie de la configuration de votre tenant Intune en quelques clics !

Vous pouvez sélectionner ce que vous souhaitez exporter ou non, et l'outil s'occupe du reste ! Attention, pour les applications, les packages MSI, Intunewin, etc... ne sont pas exportés, mais les scripts le seront.

Une fois l'export terminé, vous obtenez un répertoire avec toutes vos configurations. Il est possible de tout réimporter sur un autre tenant, ce qui peut être utile si vous migrez d'un tenant à un autre. Nous pouvons aussi utiliser cette fonction pour faire une sauvegarde à l'instant t de nos configurations.

D. Générer une documentation Intune

Terminons par la cerise sur le gâteau : la possibilité de générer une documentation de votre configuration ! Pour cela, vous pouvez utiliser le bouton "Document" présent dans chaque section d'Intune Manager, ou utiliser le menu "Bulk" puis "Document Types".

Plusieurs options s'offrent à vous, comme le format du rapport : CSV, HTML, Markdown et même Word (s'il est installé sur la machine depuis laquelle Intune Manager est exécuté). Vous pouvez aussi sélectionner la langue, parmi un large choix, dont l'anglais, le français, l'espagnol, l'italien et l'allemand.

Ensuite, vous laissez travailler l'outil et il va générer une documentation complète pour résumer votre configuration, en intégrant une table des matières. Que ce soit pour documenter son SI ou effectuer un audit, cette fonctionnalité est redoutable.

• Voici un exemple de rapport HTML :

IV. Conclusion

IntuneManagement est vraiment un excellent outil que tout administrateur d'Intune doit connaître ! Il a une réelle valeur ajoutée et facilite les opérations d'export, d'import, voire même de sauvegarde et de restauration d'une certaine façon, en plus de vous permettre de générer une documentation à la volée de votre configuration.

Maintenant, à vous de l'essayer !

The post Intune – Comment exporter, importer et documenter facilement des configurations ? first appeared on IT-Connect.

Un fichier ISO est une image disque qui contient l’intégralité des données et la structure d’un disque optique, comme un CD ou un DVD.
Monter un fichier ISO est un processus qui permet de simuler la présence d’un disque physique dans votre ordinateur, sans avoir besoin d’un disque réel.
Vous pouvez faire cela très facilement sur Linux pour accéder au contenu du fichier image.

Dans ce tutoriel, je vous montre comment monter un fichier ISO sur Linux depuis un terminal ou en graphique.

Comment monter un fichier ISO sur Linux

En graphique

• Faites un clic droit sur le fichier ISO puis Ouvrir avec Monteur d’image disque

• Le lecteur virtuel est accessible depuis l’Explorateur, cliquez dessus
• Selon la distribution Linux, le lecteur peut s’afficher dans les favoris, sur le bureau ou encore dans la barre des tâches ou lanceur

• Pour retirer le lecteur virtuel du fichier image, faites simplement un clic droit dessus puis Démonter

En ligne de commandes depuis un terminal

La commande mount vous permet d’attacher (monter) des fichiers ISO à un point de montage particulier dans l’arborescence des répertoires.
Les instructions de cette section devraient fonctionner sur n’importe quelle distribution Linux, y compris Ubuntu, Debian, Linux Mint ou Fedora.

• Voici la syntaxe de la commande mount :

sudo mount -o loop <fichier ISO> /dossier/destination

• On créé le répertoire /media/iso :

sudo mkdir /media/iso

• Puis par exemple, pour monter le fichier VBoxGuestAdditions_7.0.18.iso dans /media/iso :

sudo mount -o loop ~/Téléchargements/VBoxGuestAdditions_7.0.18.iso /media/iso

• Vous vérifier que le fichier ISO est bien monté en utilisant la commande. Vous devez obtenir une ligne du type

/home/mak/Téléchargements/VBoxGuestAdditions_7.0.18.iso on /media/iso type iso9660 (ro,relatime,nojoliet,check=s,map=n,blocksize=2048,iocharset=utf8)

• Enfin pour démonter le fichier ISO, utilisez la commande umount en indiquant le point de montage :

sudo umount /media/iso

Avec AcetoneISO

AcetoneISO est un programme libre et open-source qui permet de gérer et de manipuler des fichiers d’image disque tels que les fichiers ISO sous Linux. Il offre une interface graphique intuitive qui facilite diverses opérations sans nécessiter de commandes complexes en ligne de commande.
De plus, vous pouvez convertir des formats ISO, audio ou encore graver des DVD-Rom.

Pour l’installer :

sudo apt install acetoneiso

Vous pouvez monter un fichier ISO manuellement ou encore gérer une base de données depuis un répertoire.

L’article Linux : monter un fichier ISO est apparu en premier sur malekal.com.

Microsoft has recently announced that Basic Authentication in Exchange Online SMTP AUTH will be disabled in September 2025. In this post, I will discuss the implications of this announcement and provide guidance on what steps you can take to ensure your email applications and devices remain functional.

Après vous avoir présenté mon script qui me notifie qu'une facture d'eau est arrivée, voici un second script pour me notifier sur mon smartphone de payer les charges à mon syndic de copropriété (Immosquare).

La problématique ne change pas : parfois je ne reçois par l'email qui me dit que j'ai un appel de charges ou appel de fonds à régler (selon si vous êtes propriétaire ou locataire).

Pour éviter la relance par courrier et éventuellement les pénalités qui vont avec, j'ai écrit un script bash qui va vérifier tous les jours de la semaine si un appel de charges est en attente de règlement et me notifie sur mon téléphone via ntfy.

Cela fonctionne avec certaines communes de l'agglomération Grenobloise, mais pas que.

La compatibilité

Ce script a été développé pour fonctionner avec Immosquare.

Il peut servir de base et vous pouvez l'adapter pour qu'il fonctionne avec d'autres organismes.

Téléchargement du script

Récupérez le script depuis mon espace GitHub :

immosquare.sh (raw)

Rendez le script exécutable chmod +x *.sh

Et modifiez les 2 variables obligatoires :

IMMOLOGIN="123456"
IMMOPASSW="votre-mot-de-passe"

L'identifiant se trouve en haut à gauche de vos appels de charges "Internet Login".
ce n'est pas votre email

Enfin pour recevoir la notification avec ntfy renseignez le chemin du script de notification ntfy :

NTFYSCRIPT="/home/pi/ntfy/ntfy-ng.sh"
NTFYTOPIC="le-nom-de-votre-topic-ntfy"

Pour ne pas recevoir la notification via NTFY commentez les 2 lignes qui commencent par $NTFYSCRIPT (le script perd de son intérêt^^).

Lancement du script

Et voici une trace d'exécution du script, en cas de solde à régler :

./immosquare.sh

[Immosquare] SOLDE 98€ A REGLER

En cas d'absence de paiement en attente :

./immosquare.sh
OK, RIEN A PAYER

Et voilà !

Conclusion

Vous n'avez maintenant plus aucune excuse pour payer vos appels de charges/fonds en retard !

Vous pouvez ensuite connecter ce script à votre solution domotique, ou laisser le script tourner en crontab. Dans mon cas il tourne du lundi au vendredi à 11h :

0 11 * * 1-5 /home/pi/scripts/immosquare.sh

Le script est nettement plus simple que le script de notification des factures d'eau, c'est d'ailleurs par celui-ci que j'ai commencé. Et heureusement car la complexité du script pour l'eau m'aurait découragé.

J'espère que ce script vous sera utile, n'hésitez pas à le forker, l'améliorer ou encore venir mettre des stars sur mon GitHub si ce script vous est utile.

 

Vous n'aimez pas le RSS : abonnez-vous par email
Vous devriez me suivre sur Twitter : @xhark

---

Article original écrit par Mr Xhark publié sur Blogmotion le 11/05/2024 | Pas de commentaire |
Attention : l'intégralité de ce billet est protégée par la licence Creative Commons

Cet article [Script] Être notifié d’un appel de charges (Immosquare) provient de : on Blogmotion.

I. Présentation

Dans ce tutoriel, nous allons apprendre à créer, restaurer et supprimer des points de restauration sur Windows 11. Cette fonctionnalité de Windows joue un rôle important puisqu'elle facilite le retour à un état antérieur en cas de dysfonctionnement. Que ce soit en tant qu'utilisateur final ou en tant qu'administrateur système, vous avez tout intérêt à avoir connaissance de cette fonctionnalité de Windows.

Remarque : sur Windows Server, vous ne pouvez pas créer directement de point de restauration de la même façon que sur Windows 10 et Windows 11. Vous devez installer la fonctionnalité "Sauvegarde Windows" (Windows Backup) et effectuer une sauvegarde de l'état du système par ce biais.

II. Qu'est-ce qu'un point de restauration ?

Un point de restauration système est une fonctionnalité de Windows, présente depuis des années, et toujours accessible sur Windows 11 qui permet à votre ordinateur de revenir à un état antérieur, connu comme "point de restauration", sans affecter vos fichiers personnels.

Cette fonctionnalité est extrêmement utile si vous rencontrez des problèmes après avoir installé une mise à jour, une application ou un nouveau pilote, ou après avoir apporté des modifications importantes à votre système (dans la base de Registre Windows, par exemple).

Pour vous donner un exemple concret, imaginons que vous ayez installé un nouveau logiciel sur votre PC et que celui-ci a causé des problèmes au point de rendre votre machine instable... Vous pouvez utiliser la fonction de restauration du système pour revenir à un point de restauration antérieur à l'installation du logiciel (à condition d'en avoir créé un, bien entendu). Une fois la restauration effectuée, votre système reviendra à l'état dans lequel il était à ce moment-là, comme si le logiciel problématique n'avait jamais été installé !

Un point de restauration comprend un ensemble d'éléments, dont une copie de l'état du système, ce qui inclut les paramètres du système, les applications installées et le contenu de la base de Registre Windows. Cependant, il ne sauvegarde pas vos fichiers personnels (documents, images, etc.).

J'insiste bien sur le fait qu'un point de restauration ne protège pas vos données et n'altère pas vos données lors de la restauration.

Remarque : la fonctionnalité de point de restauration de Windows s'appuie sur le service VSS (Shadow Copies). Les points de restauration seront stockés dans le répertoire "System Volume Information" présent à la racine de chaque volume.

III. Créer, restaurer et supprimer un point de restauration Windows

A. Créer un point de restauration

Tout d'abord, nous allons apprendre à créer un point de restauration sur une machine Windows 11. Mais, avant cela, nous devons également vérifier la configuration de cette fonctionnalité : est-elle activée ?

Sur votre PC Windows 11, ouvrez les "Paramètres", cliquez sur "Système" à gauche puis sur "Informations système" afin de cliquer sur "Protection du système" dans la section avec les liens connexes. Vous pouvez aussi appeler le raccourci suivant dans la zone de recherche de Windows :

systempropertiesprotection

Au sein de l'onglet "Protection du système", vous verrez vos différents lecteurs, et pour chacun d'entre eux, l'état de la protection. Par défaut, cette protection est activée uniquement sur le disque C sur lequel est installé le système Windows. Si vous avez un autre disque sur votre machine, il ne sera pas protégé, mais vous pouvez activer la protection à cet endroit.

1 - Sélectionnez le lecteur Windows dans la liste.

2 - Cliquez sur le bouton "Configurer..."

3 - Ici, vous pouvez activer ou désactiver la protection du système, veillez à ce que l'option "Activer la protection du système" soit sélectionnée. Vous pouvez également voir l'espace disque consommé par cette fonctionnalité, et autoriser l'utilisation de plus ou moins d'espace disque.

Ensuite, pour créer un nouveau point de restauration, sélectionnez le lecteur Windows dans la liste, puis cliquez sur le bouton "Créer". Vous devez nommer ce point de restauration : utilisez un nom explicite, car si vous devez le restaurer par la suite, il sera visible avec ce nom-là.

Il ne vous reste plus qu'à patienter : Windows va créer le point de restauration.

À titre informatif, sachez que cette action crée plusieurs événements visibles dans le journal "Application" de Windows, via l'Observateur d'événements. Ceci permet d'en savoir plus sur le déroulement de l'opération. Lorsqu'un point de restauration est correctement créé, un événement avec l'ID "8194" est ajouté. Voici un exemple :

B. Restaurer un point de restauration système

Plusieurs méthodes sont à votre disposition pour restaurer le système à un état antérieur à partir d'un point de restauration. En fait, ceci dépend notamment de l'état de votre machine : est-elle encore opérationnelle ou devez-vous revenir à un état antérieur suite à un crash complet ?

Tout d'abord, partons du principe que la machine est en ligne, mais que nous souhaitons revenir à un état antérieur suite à un problème de stabilité ou de performances, faisant suite à une modification récente.

Toujours à partir de "Protection du système", cliquez sur "Restauration du système". Un assistant s'exécute, sélectionnez l'option "Choisir un autre point de restauration" et cliquez sur "Suivant".

À l'étape suivante, vous devez sélectionner le point de restauration à sélectionner. Windows liste les points de restauration disponibles, avec la date et l'heure, et leur nom. Windows utilise aussi cette fonctionnalité pour ses propres besoins, donc vous pouvez visualiser aussi d'autres points de restauration que vous n'avez pas créés manuellement.

Sélectionnez le point de restauration à restaurer, puis cliquez sur "Rechercher les programmes concernés" pour comparer la liste des applications, des services et des pilotes présents dans l'image Windows en ligne avec la liste de ces éléments dans le point de restauration sélectionné. C'est plutôt pratique. Ensuite, poursuivez...

Cliquez sur "Terminer" pour lancer la restauration du système.

Laissez Windows travailler. La machine va automatiquement redémarrer afin d'effectuer le retour-arrière. Une fois que ce sera fait, un message sera visible sur l'écran de votre PC pour vous indiquer si tout s'est bien passé, ou pas.

Dans le cas où Windows ne parviendrait plus à s'exécuter correctement, vous pouvez passer par le mode de récupération pour effectuer la restauration du système à un état antérieur. Dans les "Options avancées" de la section "Dépannage", vous pouvez utiliser la fonctionnalité "Restauration du système".

Ici, il vous suffira de sélectionner le point de restauration à restaurer et de lancer l'opération.

C. Supprimer un point de restauration Windows

Si vous souhaitez supprimer un ou plusieurs points de restauration de Windows, sachez qu'il y a un bouton "Supprimer" accessible via les paramètres de configuration, dans la section "Protection du système". L'inconvénient, c'est qu'il va supprimer l'ensemble des points de restauration présents sur votre PC, pour le lecteur sélectionné. L'alternative consiste à utiliser l'outil de "Nettoyage de disque" de Windows, mais le résultat sera le même.

Pour supprimer un point de restauration spécifique, comment faire ? Vous devez utiliser la ligne de commande.

Tout d'abord, exécutez la commande ci-dessous pour lister tous les points de restauration disponibles sur votre PC, pour le lecteur "C".

vssadmin list shadows /for=c:

Le problème, c'est que cette commande ne retourne pas les noms des points de restauration, donc il faudra essayer de s'appuyer sur la date et l'heure pour identifier le point de restauration à supprimer. Ensuite, pour supprimer le point de restauration, vous devez spécifier son identifiant, c'est-à-dire son "ID du cliché instantané".

Imaginons que nous souhaitions supprimer le point de restauration avec l'identifiant "{b4c22461-1325-4adf-9621-572575b04faa}", ceci donnera la commande suivante :

vssadmin delete shadows /shadow="{b4c22461-1325-4adf-9621-572575b04faa}"

Vous devez confirmer la suppression en indiquant "O" puis en appuyant sur Entrée.

Si vous souhaitez supprimer le point de restauration le plus ancien présent sur le lecteur "C", sachez que vous pouvez utiliser cette commande :

vssadmin delete shadows /for=C: /oldest

À ce jour, il n'existe pas de cmdlet PowerShell pour effectuer la suppression d'un point de restauration. Sachez tout de même qu'il y a deux cmdlets relatifs à la manipulation des points de restauration :

• Get-ComputerRestorePoint pour obtenir la liste des points de restauration.
• Checkpoint-Computer pour créer un point de restauration.

IV. Conclusion

Suite à la lecture de ce tutoriel, vous devriez être en mesure de prendre en main la fonctionnalité de points de restauration présente dans Windows ! Si vous êtes adepte de scripts PowerShell, sachez que le cmdlet "Checkpoint-Computer" vous permet de créer un point de restauration : ce qui peut être utile si votre script est amené à modifier en profondeur la configuration du système.

The post Comment créer, restaurer et supprimer un point de restauration sur Windows 11 ? first appeared on IT-Connect.

There are several reasons why Windows Update may fail or not work, including malfunctioning services, damaged Windows updates, insufficient free disk space, or faulty Windows devices. This article will walk you through seven methods to troubleshoot Windows Update.

I. Présentation

Dans ce tutoriel, nous allons découvrir iVentoy, un serveur PXE très léger et simple à utiliser capable de déployer des images Windows, Linux, mais aussi VMware ESXi. À l'heure actuelle, il prend en charge de nombreux systèmes et 170 images différentes ont été testées !

• Cliquez ici pour regarder la vidéo sur YouTube

iVentoy a été développé par la même personne que Ventoy, le célèbre outil de création de clés USB bootable. Sauf qu'iVentoy est un serveur PXE clé en main qui intègre à la fois le serveur DHCP et le boot PXE, tout en proposant un ensemble d'options et fonctionnalités. iVentoy est une alternative à d'autres solutions comme le rôle Windows Deployment Services (WDS) de Windows Server.

Le principe est simple : vous stockez sur votre serveur iVentoy différentes images ISO (Windows 11, Debian, Ubuntu, Windows Server, etc.) et vous démarrez iVentoy de façon à pouvoir déployer ces images ISO via le réseau local. Autrement dit, l'installation du système d'exploitation est effectuée par le réseau et vous pouvez installer plusieurs machines en même temps.

iVentoy est gratuit pour une utilisation personnelle et il est facturé 49 dollars pour une utilisation commerciale. C'est un tarif plus que raisonnable et ceci permettra de soutenir le projet. La version gratuite permet de déployer jusqu'à 20 machines simultanément, tandis que la version commerciale n'a aucune limite. Vous pouvez consulter le site d'iVentoy pour en savoir plus.

Pour approfondir le sujet du boot PXE et de WDS, voici des lectures recommandées :

• Le boot PXE et iPXE pour les débutants
• Boot PXE sur Windows Server avec WDS et DHCP

II. Télécharger et installer iVentoy

iVentoy peut être installé sur Linux, mais également Windows et Windows Server. Dans cet exemple, nous allons l'installer sur un poste de travail Windows 11 : l'outil fonctionnera parfaitement et n'a aucune dépendance vis-à-vis de Windows Server.

L'installation est vraiment simple ! Rendez-vous sur le GitHub officiel et téléchargez la dernière version correspondante à votre système d'exploitation. Ici, le fichier "iventoy-1.0.220-win64-free.zip" est téléchargé.

• GitHub - iVentoy

Quand c'est fait, décompressez l'archive ZIP sur votre PC. Puis, accédez au dossier obtenu afin d'exécuter le fichier nommé "iVentoy_64". Il va permettre de lancer le serveur iVentoy ! Une notification apparaîtra à l'écran pour vous demander d'autoriser iVentoy dans le pare-feu : acceptez. Il y a également une alerte SmartScreen parce que l'exécutable n'est pas signé, mais vous pouvez l'exécuter (ce serait bien que le développeur améliore ce point).

Si nécessaire, cliquez sur "Open Link" pour accéder à l'interface de gestion d'iVentoy. Il s'agit d'une interface web accessible en locale à l'adresse suivante :

http://127.0.0.1:26000/

Voici un aperçu :

Voilà, le serveur iVentoy n'attend plus qu'une chose : être configuré pour vous permettre de déployer vos premières machines !

III. Configurer le serveur iVentoy

La première chose à effectuer, c'est alimenter la bibliothèque d'images ISO d'iVentoy. C'est très simple, il vous suffit de copier-coller vos images ISO dans le répertoire "iso" de l'application. Dans cet exemple, deux images ISO pour Windows 11 et Debian sont copiées. La liste des images ISO testées est disponible sur cette page.

Ensuite, à partir de l'interface web, cliquez sur "Image Management". Vous devriez voir apparaître vos images ISO. En cliquant sur une image ISO, nous accédons à plusieurs options, notamment pour :

• Définir l'image sélectionnée comme image de démarrage par défaut ("Set as default boot file").
• Protéger le démarrage sur cette image par un mot de passe ("Boot Password").
• Injecter des pilotes ou des scripts ("Injection File")
• Utiliser un script d'auto-installation, c'est-à-dire un fichier Unattend.xml pour Windows, un fichier preseed.cfg pour Debian, un modèle Cloud-init pour Ubuntu, etc. ("Auto Install Script")

Basculer vers l'onglet "Configuration" qui donne accès aux options pour les serveurs TFTP et DHCP. iVentoy intègre son propre serveur DHCP, mais vous pouvez utiliser un serveur DHCP externe, sur Windows Server, par exemple. Si vous utilisez un autre serveur DHCP, veillez à bien le configurer. Pour cette démonstration, le serveur DHCP intégré à iVentoy est utilisé.

Pour utiliser un serveur DHCP externe, vous devez configurer l'option "DHCP Server Mode" et ne pas utiliser le mode "Internal". Vous devez alors configurer l'option DHCP 66 avec l'adresse IP du serveur iVentoy et l'option DHCP 67 avec la valeur "iventoy_loader_16000". Pour information, le "16000" dans le nom correspond au numéro de port par défaut de l'interface web.

Basculez vers l'onglet "Boot Information" afin de démarrer le serveur iVentoy. Mais avant cela, nous devons configurer la partie "IP Configuration" afin de définir un masque de sous-réseau, une adresse IP de passerelle, un serveur DNS, ainsi qu'une plage d'adresses IP à distribuer aux machines clientes à déployer.

Voici un exemple :

Une fois que c'est fait, vous pouvez cliquer sur le bouton vert "Lecture" pour démarrer le serveur iVentoy.

Remarque : la section "MAC Filter" du menu permet de configurer le filtrage MAC pour autoriser uniquement certaines machines, via leur adresse MAC.

Désormais, nous allons pouvoir tester notre serveur iVentoy, car il est - déjà - prêt !

IV. Déployer une machine via le réseau

Pour tester le déploiement via le réseau, vous pouvez utiliser un ordinateur physique ou une machine virtuelle. Pour ma part, je vais utiliser une machine virtuelle sur VMware Workstation. Elle a bien démarré sur le réseau en iPXE et j'arrive sur une interface avec le logo iVentoy où je vois bien mes deux images : Debian et Windows 11 !

Avec les flèches directionnelles du clavier, il suffit de choisir l'image correspondante au système que nous souhaitons déployer et d'appuyer sur "Entrée".

La machine va charger l'image ISO par le réseau. Nous arrivons sur le programme d'installation de Debian 12 :

Dans le même temps, côté serveur iVentoy, la section "Device List" présente dans "Boot Information" liste toutes les machines en cours de déploiement. La colonne "Status" est intéressante, car elle indique où en est la machine et notamment l'image de démarrage sélectionnée.

Par ailleurs, il est tout à fait possible d'installer Windows 11, toujours via le boot iVentoy !

Il ne reste plus qu'à patienter pendant l'installation du système !

V. Conclusion

L'application iVentoy est à la fois simple à utiliser et très efficace ! Elle offre la possibilité de déployer facilement des images Linux, Windows, etc... Très facilement car il suffit de copier-coller l'image ISO dans le répertoire "iso" de l'application ! Si vous en avez assez de vos clés USB Ventoy, vous pouvez vous orienter sur iVentoy pour effectuer du déploiement par le réseau !

The post iVentoy – Un serveur PXE léger pour déployer Windows, Linux et VMware ESXi par le réseau first appeared on IT-Connect.