1foplus

1foplus-2021-22

Assistance réseau

La virtualisation pour tenter de simplifier le concept, correspond à une "couche d'abstraction" sur laquelle on créé une couche logicielle à partir de l'image ISO d'un système d'exploitation qui "émulée" devient un système virtuel (hébergé sur un hôte). A l'époque il s'agissait de virtualisation de type 2. L'intégration de la virtualisation sur Windows a commencé à être native à partir de Windows 8-8.1. Pour virtualiser un poste client il fallait installer des logiciels de type 2 "Virtual PC" puis "Virtual Server", qui servaient d'hôtes. Pour IBM, créateur de la virtualisation cette technologie est un processus qui permet une utilisation plus efficace du matériel informatique et qui pose les bases du cloud computing. L'offre de services d'IBM de virtualisation de partage applicatif le VM/370 crée dans les années 70 apparait. Il mermet à plusieurs utilisateurs d'utiliser un système DOS/VSE alors que la fonctionnalité n'existait pas. Puis VMWare et ses hyperviseurs de type 1 et 2 transforme la virtualisation et lance son premier logiciel de virtualisation Workstation 1.0 en 1999 suivi d'une offre tous les 2 ans suivi de l'hyperviseur, ESX Server 1.5 en 2002. En consolidant plusieurs serveurs sur des terminaux physiques, ce produit améliore les performances, simplifie l’administration et permet aux entreprises de réduire leurs coûts. VMware se taille une part importante avec l'acquisition d’AirWatch en 2014 pour 1,54 milliard de dollars. Avec AirWatch, VMware devient bientôt un acteur majeur de la gestion des terminaux mobiles, qui permet aux entreprises de répondre à la demande croissante d’utilisation de terminaux personnels (BYOD) sur le lieu de travail.

Par ailleurs la popularité de VMware augmente lorsque la Société prend l’engagement d’arriver à la neutralité carbone et à une utilisation d’énergie renouvelable à 100 % pour ses opérations internationales d’ici 2020. Les objectifs de VMware 2020 soutiennent la mission de l’entreprise de représenter une force motrice dans le monde, et d’apporter à la société, à l’environnement et à l’économie mondiale une contribution supérieure à sa consommation.

Pour revenir à la technologie son principal conccurent Citrix avec "Presentation serveur", lance "XenApp" en 2008. Avec Xen (open source) comme hyperviseur qui devient XenServer puis XenCenter (Hyperviseur de type1, après l'achat des codes sources de Windows) amméliore son produit avec la possibilité de virtualiser le réseau.

Les cartes mères sur lesquelles l'hyperviseur de type 1 fonctionne sont dotés de ressources importantes. Les logiciels "encapsulent" les disques de stockage des Machines Virtuelles avec les extensions, VMDK, VHD et VHDX, VDI, etc. (.vmdk est le format historique VMWare, .vdi est le format utilisé par Oracle, .vhd et le format de Microsoft avec.vdhx pour les disques de Microsoft Hyper-V qui a permit de monter des disques de non limités à 2To avec le format .vhdx. Cela permet de repousser la limite à 64To ! Enfin, Citrix XenCenter peut sous la condition que vous bénéficiez du "rôle d’administrateur de pool", intégrer les deux formats, celui de Microsoft et celui de VMware (.VHD et .VMDK) pour les Machines Virtuelles.

Lire la page sur écran PC

Microsoft avec Virtual server en 2007

Différences entre hyperviseurs, le type 1 et 2: D’une part, l’hyperviseur de type 1 a un accès direct aux ressources de la machine sur lequel il fonctionne. D’autre part, les ressources sont completement dédiées aux Machines virtuelles pour plus d'autonomie, de fléxibilité tout en permettant un gain de sécurité. Cela implique qu'ils soient plus utilisés en production que les hyperviseur de type 2, qui nécessitent de passer par une application avec l'OS monté pour virtualiser le Systèmes sur un hôte. C'est le cas de VirtualBox d'Oracle ou des versions VMWare Workstation, mais la "différence" est cependant pas très facile à appréhender pour un non spécialiste.

Les hyperviseurs de type 1 les plus utilisés puis ceux de type 2.

L'hyperviseur de type 1 utilise directement la couche matérielle physique, alors que le type 2, utilise une formule hébergée d'ou le terme "hosted" ou hôte matériel. Un OS est monté ou "mount" comme système émulé.

Ces extensions sont utilisées par les hyperviseurs pour stocker les données des VM. On peut enregistrer, copier, mettre à jour, déployer et provisionner rapidement des images instantannées "snapshots". Des systèmes complets peuvent être transférés d'une Machine virtuelle vers un(e) autre pour une maintenance sans interruption de services. Actuellement il existe de nombreux logiciels comme Virtual Box (Open Source), Microsoft Virtual Desktop, VMware Workstation ou les hyperviseurs Microsoft Hyper-V (intégré à Windows Server depuis ), VMware ESXi-vSphere, ou Fusion pour Mac, Citrix XenServer puis XenCenter. Mais il faut compter sur Linux pour avoir le plus grand choix d'émulateurs de type 2 et 1. KVM est intégré en natif sur Linux ainsi que Xen (les deux hyperviseurs de T1 open source) sur Citrix, Debian et Suze. Tous émulent pratiquement tous les systèmes d'exploitation (ou la plupart) en particulier pour Linux ou le choix d'Hyperviseurs de T1-2 est énorme. Ces systèmes peuvent être hébergés un hôte pour recréer des VM avec tous les périphériques et composants; mémoire, cartes réseau, ports d'entrée, de sortie, etc. Contrairement à l'hyperviseur Bare metal de type 1 qui s'exécutent directement en tirant partie de la couche physique matérielle, avec la répartition ainsi que l'équilbrage des charges (load balancing). Les perfomances, la sécurité et la fiabilité sont assurés, ce qui limite les coûts d'exploitation. Plusieurs serveurs virtuels dotés de systèmes d'exploitation hétérogènes peuvent fonctionner sur une hyperviseur local, côte à côte ou sur le Cloud de manière mutualisés. L'hyperviseur de type 1 quant à lui, permet d'héberger, de gérer, d'administrer les rôles des VM et d'allouer ou répartir dynamiquement les ressources en fonction des besoins. Chaque VPS créé possède son propre "sous-ensemble matériel". Réparti de façon homogène et normalisé, en fonction de la puissance et des ressources de la machine sur laquelle l'hyperviseur T1 est installé. Les serveurs en grappes dans une salle serveurs ou chez un Fournisseur Cloud (datacenter) pour un hyperviseurs de type-1 à des ressources "sur-dimensionnées". Ils sont munient parfois de plus de 256Go de mémoire vive, de plusieurs baies de disques SCSI ou iSCSI (HDD, SATA, ou SD devront être adaptés) ou sur un LUN pour atteindre jusqu'à 64To... Une répartition des rôles et services tels que les serveurs WEB, DNS, AD DS, DHCP, etc. et applications, ERP, GroupShare, etc. bénéficient d'hyperviseurs de type 1 souvent en cluster. Il en va de même pour le réseau. Une carte virtuelle "vSwitch" reliée à un routeur physique, va permettre de créer un SDN avec un contrôleur et les interfaces de communication pour assurer la gestion des services et de tous les protocoles réseau tels que TCP, UDP, MAC, ICMP, SNMP, NAT, SMB, RDS, SSH, SSL, TFTP, VPN, Kerberos, Tacacs+ (Terminal Access Controller Access-Contrl-Sys+), etc. Ou l'ajout de VLANs avec PVST+, pour que l'hyperviseur doté d'un SDN ou SD WAN consolide en continu l'équilibrage et filtre le broadcasting "sauvage" qui diffuse des données dans tous les sens, en assurant la disponibilitée et la sécurité de votre infrastructure. Le type-1 par ailleurs, utilisé en production, fait facilement face à un arrêt de service avec l'application de restauration à chaud avec le module Bare Metal.

En règle générale, il vous faudra par VM sur un hyperviseur de type 1, un processeurs ou Intel Core i7 ou Intel i9, AMD Ryzen 9 3900XT qui supporte la virtualisation, ainsi que 4 à 16Go de mémoire vive, en fonction du rôle du serveur et enfin un stockage HDD de 8 à 32Go ou plus...Pour déployer l'ISO facilement il faudra tout d'abord la récupérer, ce qui sera effectué sur le site de VMware avec un compte et la licence qui convient au système à virtualiser. Vous pouvez toujours créer une image ISO avec les paramètres de configuration si vous créez l'image sur la même machine qui vous sevira d'hyperviseur. Mais VMware propose des pilotes génériques pour faciliter l'implémentation des Machines Virtuelles sur les hyperviseurs de type I.

Infrastructure virtualisée ESXi et composants; VM, vMotion et vDS L2.

VMware VSphere ESXi

Installation de VMware ESXi 6.7

Installation Hyper-V sur server 2019 avec le service serveur DHCP

Xencenter installation et configuration de Xenserver

Il existe actuellement dans ce domaine une large gamme de services:
De la virtualisation des serveurs x86-64 pour tous les systèmes d'exploitation,
la virtualisation d'applications et de services pour la plupart des systèmes d'exploitation,
la virtualisation du stockage avec répartition via vMotion, et depuis plus d'une décénnie la virtualisation réseau.

La virtualisation des serveurs associé à l'offre des services Cloud permettent de créer des infrastructures externalisées et d'émuler les topologies réseau pour contrôler le transfert des flux de données pour les environnements complexes entre les composants et "periphériques" réseaux. Avec le SDN vous pouvez gérer votre réseau, allouer de la bande passante, répartir et équilibrer la charge réseau, relier vos sites distants, créer un noeud de secours, assurer vos sauvegardes ou faire face à un arrêt de services avec la redondance ou restaurer votre environnement avec un module Bare Metal ou une application tierce. Les liens vers un fournisseur de service Internet (ISP) et l'interface de gestion permettent de béneficier de plusieurs fonctionnalités comme par exemple ; l'accès au réseau avec le SDN, l'accés à vos sites et succursales distantes. A l'instar de MPLS, ces possibilités ne sont pas nouvelles, mais depuis plus de 15 ans et l'apparition du SDN et des SD-WAN basés sur les développements avec l'API sur laquelle est construite l'application d'interface; du contrôleur et données de routage et de commutation aux transferts des flux, il ne s'agit plus d'innovation, mais d'une métamorphose du secteur des réseaux et télécommunications.

La virtualisation des fonctionnalités réseau avec NFV (Network Fonctionnig Virtualisation) désigne le remplacement des "appliances réseaux" (matériels réseaux) par des machines virtuelles qui exécutent les processus sous le contrôle de l'hyperviseur. Le (Software Define Networking) ou SDN de Cisco est un réseau défini par logiciel consistant à séparer la couche de gestion des flux de la couche des données transmise au réseau. L'objectif de cette dissociation est de créer un réseau centralisé et programmable. Cette implémentation utilise des plate-formes virtuelles de gestion, basées sur une formule logicielle pour le multi-Cloud (VMware NSX) afin d'assurer la sécurité des trasnferts de flux entre vos sites locaux et distants que vous pouvez répartir entre plusieurs fournisseurs Cloud.

SDN et NFV

Ces deux approches (NFV et SDN) reposent sur la virtualisation et l'abstraction du réseau. En revanche, leurs manières de séparer les fonctions et de dissocier les ressources diffèrent. La SDN sépare les fonctions de mise en réseau des fonctions de contrôle du réseau, dans le but de centraliser la gestion et la programmation du réseau. La NFV permet de dissocier les fonctions réseau du matériel. Elle fournit l'infrastructure sur laquelle la SDN s'exécute. La "Fabrique Ethernet" sous entend des réseaux soumis à la technologie Ethernet, composé d'un ensemble de câbles e catégories récente, d'un routeur et d'un ou plusieurs switchs en fonction de vos objectifs. Vous pouvez associer NFV et SDN sur du matériel standard. Avec ces deux approches, vous pourrez créer une architecture réseau flexible, programmable, redondante, qui utilise les ressources plus éfficacement avec un tableau de bord, voire de manière automatisée.

L' approche matérielle et logicielle intégrées (Cisco ACI) permet d'être utilisée dans les datacenters pour les clients qui veulent des solutions réseaux plus flexibles et plus facilement securisées que des architectures réseaux traditionnelles. Le SDN peut également se décliner en sous-catégories, LAN pour Réseau local comme le réseau étendu WAN (Wide Area Network) défini par logiciel. Le SDN avec d'autres approches telles que NFV ou NSX peuvent également servir à segmenter le trafic pour accroître la sécurité.

Lire : Mise en réseau logicielle (SDN) et virtualisation des fonctions réseau (NFV)

Lire: F5 exploite les API des clouds pour connecter les différents réseaux

Comment gérer et configurer les interfaces réseau sur ESXi

Comment migrer une virtuelle Machine avec vMotion sur un autre ESXi, sans arrêt de service.

Déployer le loadbalancer F5 sur AWS en utilisant Terraform et VAULT

Manager Vault avec Terrraform

Avec la virtualisation des systèmes, des applications pour terminaux mobiles et les services Cloud: Software as a Service, Platform as a Service, Infrastructure as a Service vous pouvez bénéficier de possibilités bien plus étendues que par le passé. Démontrer l'intêret du Cloud est largement abordé sur Internet. Nous pouvons citer; la virtualisation du stockage, la gestion des services, l'accès aux applications dédiées, IDE, workflow, Middleware, groupware, partages, réseaux. Comme avec le VDI qui assure un déport d'affichage avec un module web ou un agent et qui permet d'utiliser un VPN pour l'accès à distance, en passant par une connexion IPSec encryptée pour travailler comme çi vous étiez au bureau. La concurrence ne manque pas dans ce domaine. La plupart des utilisateurs du VDI ont recours à HDX de Citrix, à RDP ou RemoteFX de Microsoft, ou encore à Blast Extreme de VMware, voire à PCoIP.

Une entreprise qui souscrit un abonnement via WMWare auprès d’Amazon (AWS), avec l'exemple de services qui stockent et gèrent vos données personnelles en SaaS ne paie "en principe" que les fonctionalités et la consommation réelle. Un engagement à nuancer... Si vous êtes en quête d'une solutions plus accéssible, vous aurez plutôt intérêt à privilégier les offres de "brokers" moins chers financièrement. L'analyse des coûts avec un Retour sur Investissement avantageux offre plus de souplesse sur une offre SaaS. La facturation des VM, du stockage, de la charge processeurs, des scripts avec les temps d'utilisation, ou des échanges de données réseau imposent de bien comprendre la manière dont sont facturés les servives Cloud.

Les offres plus anciennes comme celle de Palo Alto propose un SD-WAN avec l'accès à une interface permettant de bénéficier d'un tableau de bord afin de vérifier la santé des terminaux, applications, réseaux et politiques de sécurité. Grâce à cette interface et aux possibilités de requêtes sur les périphériques réseau, les administrateurs peuvent isoler les problèmes plus rapidement et l'intégration native avec les principales solutions de gestion des services IT (IT Service Management, ITSM) pour automatiser le processus de gestion des incidents de bout en bout.

Il est donc particulièrement utile de bien comprendre la manière dont sont facturés les servives Cloud. Vous devez respecter les codes de bonnes pratiques et quant à votre fournisseur Cloud, il s'engage contractuellement à respecter le RGPD.

Lire sur L'usine digitale: Bonnes pratiques pour optimiser vos coûts associés au cloud

Maitrise des "vrais couts" du cloud public: Un enjeu important pour les entreprises

Consommation d’un data center :tout ce qu’il faut savoir pour limiter les dépenses

Cela, afin de mieux comprendre la métamorphose actuelle et les enjeux futurs avec le numérique, plus sécurisé, basé sur des connexions privés virtuelles et des interfaces applicatives, l'exécution du SD-WAN dans des centres de colocation permet au personnel de succursales d'accéder en toute transparence et en toute sécurité aux applications et aux données résidant sur les plates-formes Cloud telles que AWS, Azure, Google, etc. Nombreuses se tournent vers de nouvelles solutions pour continuer à répondre aux exigences imposées par les avancées technologiques et optimiser le retour sur investissement. A l'instar du MPLS le marché du SD-WAN n'est pas plus difficile à aborder. En revanche il simplifie la vision et la gestion de votre réseau pour mieux s'adapter à vos besoins et aux attentes de vos clients.

 

LES SERVICES CLOUD

Le cloud public:

Ce type de cloud correspond au modèle de base du cloud computing, celui déployé le plus couramment. Dans cette typologie, les ressources mises à disposition par votre prestataire ne sont pas accessibles publiquement, mais mutualisées entre plusieurs entreprises qui se partagent l’infrastructure. Le nombre de « locataires » est ici évidemment limité et n’impacte pas les possibilités d’évolution ! Le fournisseur s’occupe alors de gérer les problématiques de bande passante, de maintenance ou encore de mises à jour afin de garantir un IT opérationnel et accessible; en toute sécurité.

Le cloud privé:

désigne une infrastructure informatique qui est totalement dédiée aux données et applications de votre entreprise. Dans ce modèle techniquement proche d’une infrastructure locale, l’ensemble de vos ressources est hébergé sur vos propres serveurs. Ceux-ci sont alors administrés soit par vos équipes en interne, soit par votre prestataire dans un datacenter externe.

Le cloud hybride:

Le cloud hybride est une troisième possibilités qui permet l’utilisation, soit, mixte des deux clouds en même temps, soit, de vos serveurs locaux hébergeant des services sensibles, pour des raisons de disponibilité ou d'accéssibilité. Ils seront externalisés avec les composants réseaux s'y rattachant sur le Cloud pour vous permettre de répartir ou de basculer de votre environnement local (avec VPS) vers le Cloud. Désengorgez le trafic en cas de latence importante, de broadcasting, voir de saturation se fera avec une adresse et une interface graphique (GUI). Le Cloud hybride, permet de mélanger les différentes sortes de cloud; publics ou privés et d’obtenir une version "homogène et centralisé" de l’ensemble. La répartition des coûts d’exploitation et des investissements appliqué au niveau de la puissance et des ressources sera alors répartie sur-mesure, afin de garantir plus de granularité dans l'utilisation des services.

le Cloud va dans le sens de la protection, de la pérénité et de la sécurité de vos données.
Lire cet article sur le journaldunet.

 

LE STOCKAGE ET L'ENCADREMENT DES FOURNISSEURS

Avec les années 90, le prix du stockage a tellement baissé qu'aujourd’hui, le coût du Go sur des disques durs "traditionnels ou mécaniques" de types SATA (seuls les contrôleurs et la connectique changent) se situe en fonction de la marque à quelques centimes d'Euros le Go. C'est plus cher pour le SCSI, mais cela met le prix d'un disque dur SATA de bonne facture de 18To à moins de 30€ le To. Comme exemple: un disque dur Western Digital Gold SATA de 18To, en 3.5 pouces, avec 6Gb/s (vitesse de bande passante d'interface), 512MB (mémoire EEPROM) à 549,38€. Un disque dur SATA pour particulier de plus petite capacité par exemple un Seagate Exos 7E8 de 3.5' (pouces) de 8To avec une vitesse de rotation du plateau à 7200RPM (rotation minute), 6Gb/s de transfert (bande passante d'interface) et 256MB (mémoire EEPROM) à moins de 200€. En revanche, le prix du Gigaoctet pour les disques SSD S-ATA 3, avait reculé d'environ 30 % entre 2014 et 2016. Sur quatre ans, la baisse avait atteint environ 54%. Actuellement le prix du Go d'un disque SSD Samsung de 500Go est descendu à presque la moitié, soit plus près des 30cts que des 70cts d'euro le Go, cela malgré d'importantes disparités en fonction de la capacité, du modèle et de la marque. La baisse des prix du stockage bénéficie surtout aux fournisseurs ainsi qu'aux offres de stockage et de services. Le Cloud a un coût et celui-ci se chiffre autant en terme de consommation d'énergie qu'en terme de prix de stockage et de gestion-traitement des données même si ce dernier est largement optimisé avec les hyperviseurs. Lire sur 45secondes.fr


En 2022, les disques durs des datacenters peuvent gérer jusqu'à 26 TB (soit 26 000 GB) de données. Entre 2021 et 2022, les dispositifs de stockage se sont mis à gérer 6 000 GB de plus soit 32TB. Avec ce volume de stockage plus conséquent, les entreprises comme les utilisateurs pourront stocker davantage d'informations. Ceci engendrera une transmission de données encore plus importante pour la fibre et les antennes 5G

L'inventivité et l'ingéniosité ne sont pas en reste dans ce domaine. Pour donner un exemple dans le cadre du stockage des données, certains chercheurs abordent une nouvelle façon de stocker des données à partir d’ADN synthétisé de façon chimique pour lequel les scientifiques construisent des séquences qui ne comportent pas de gène car nous ne sommes pas sur de la biologie du vivant, mais sur de la synthèse chimique. Pour la conservation, on insère l’ADN dans une mini capsule métallique, (développée actuellement par la société Imagene.) Ces mini capsules peuvent stocker des millions de brins d’ADN (donc de données) car celui-ci est très compact. En théorie, une seule de ces capsules pourrait contenir l’équivalent d’un data center. On peut donc imaginer les gains énergétiques, mais également d’espace sur le territoire que ce type de recherche pourrait apporter.

Avec des engagements de baisse des coûts.

Dans un contexte de tiraillement entre,

La nécessité d'être innovant pour anticiper les besoins et déployer des services,

La nécessité d'évoluer tout en assurant la conformité des systèmes,

La nécessité d'optimiser les coûts...

Une amélioration de la productivité.

En optimisant les services d'administration, de support, de supervision avec le Cloud

En fournissant un service de retour d'expérience et de qualité (workflow, groupware),

En sécurisant votre réseau avec la segmentation et accès sécurisés (VLAN, VPN, IPSec, SSL-SSH, IDS, SD-WAN)

En assurant la mise en oeuvre d'un Plan de Retour d'Activité éprouvé (sur serveur avec solution locale et sur serveurs virtuels en mode hybride).

 

LA CONSOMMATION D'ENERGIE ET LE NUMERIQUE CONTREDIT PAR LA VIRTUALISATION

Une étude de l'Union française de l'électricité (UFE), montrait que la consommation des Centres de Données s'élevait à environ 3TWh en 2015... Soit l'équivalent de la consommation électrique d'une ville comme Lyon. En 2021, la capacité de stockage des centres de données devait être multipliée par 4, selon une Étude de Cisco. Un centre de données "hyperscale" qui dépend souvent d’une architecture de serveurs virtuels doté de plusieurs centaines de m² d'armoires de baies avec disques rackés, est passé de 338 fin 2016 à 628 en 2021 soit près du double en 6 ans. Mais cela correspond seulement à 53% du nombre total des centres de données. Nous sommes tous concernés par ce problème d'énergie qui va augmentant, même s'il cela reste difficile à concretiser pour le commun des mortels. Lire sur le site "fournisseur-energie.com", comment réduire la pollution numérique. Alors qu'on associe bien souvent le Cloud à des engagements de baisse des coûts...

Cependant les critiques du Cloud avancent, "semble t-il", deux arguments de poids; La consommation d'énergie et la facturation de l'usage attribué aux services "hébergés" (avec un risque très faible de perdre "accidentiellement" la gouvernance et la pérénité du traitement de vos données). Raisons pour lesquelles les prestataires insistent pour que vous appliquiez "Les codes de bonnes pratiques et de bonnes conduites". Le choix du prestataire est donc déterminant. Lire le document de la CNIL: Recommandations pour les entreprises qui envisagent de souscrire à des services de Cloud computing.

La dépendance en énergie, phénomène exponentiel et les coûts fixes attribués par les "fournisseurs" dans le Cloud font que le traitement des données pour des applications comme avec SaaS sont facturées à l’usage. Une entreprise qui souscrit un abonnement auprès de fournisseurs tels que Amazon (AWS), Microsoft (Azure), Google (GCP), n'appliquent en théorie une facturation que pour la consommation réelle. L'hébergement personnalisé sur mesure, permet de facturer uniquement ce que vous utilisez. Vous n'avez pas besoin de payer pour des ressources supplémentaires, tant que cette nécessité s'impose au bon fonctionnement des services alloués. Cela est une promesse qui reste à nuancer au quotidien.

Il convient donc aux entreprises de bien étudier les offres, de bien lire les contrats et de s'en remettre aux fournisseurs pour avoir le plus d'informations techniques et tarifaires, tant pour ce qui concerne les VPS, que les services, ou encore des solutions SD-WAN pour équilibrer les charges réseau. Même si la conccurence est forte il convient de bien étudier les offres de services. Si vous êtes en quête d'une solutions plus personnalisée, d’un accompagnement dans votre projet, vous aurez plutôt intérêt à privilégier un prestataire qui pourra vous faire bénéficier d'un support éfficace. Concernant les offres de "brokers", leurs missions est de proposer les mêmes offres de services plus accéssibles "financièrement". Pour chaques modes de Cloud "public, privé ou hybride" un environnement hybride correspondra à une approche plus pragmatique car les entreprises ont investis dans leur infrastructure serveurs. Utiliser un Cloud hybride ou privé pour les applications et services indispensables au bon fonctionnement de la société apportera une solution semble t'il plus adapté.

Lire: L’UFE soutient les recours de la CRE et de RTE contre une décision de l’ACER préjudiciable au consommateur français

 

LA VIRTUALISATION DE SERVEURS AVEC CLIENTS LEGERS

VMware vSphere ESX, ThinApp et Citrix Virtual Apps

VMware ThinApp, Citrix Virtual Apps proposent aux entreprises des méthodes de déploiements rapides, d'utilisation à distance et de migration simplifiée d’applications.

Tentez de comparer l'expérience utilisateur Citrix XenApp vs VMware Horizon View

Citrix installation storefront version 2203 sur DaaS

Lire: VMware Horizon View et Citrix Receiver du client léger Wyse Windows Embedded ou "Embarqué"

Lire Déployer Citrix sur Azure VMware

Lire sur Microsoft les spécificités d'un profil itinérant ou roaming profil

Des réponses aux besoins en constante évolution

Avec un bon suivi, associé à la redondance, à l'équilibrage ou aux fermes de serveurs (datacenter ou centres de données), à la virtualisation et aux accès réseau SDN, il devient possible d'optimiser la disponibilité, même pour les services les plus exposés. L'évolution des disques SCSI, SATA, du réseau et des connexions plus rapides du type Giga Ethernet, Fibre channel, sans oublier la virtualisation de serveurs, les instantanés effectués à partir d'un système virtualisé ou VPS sont plus faciles à exécuter. Le processus d'équilibrage et de répartition des charges devient plus souple à éffectuer. Il en va de même pour la volumétrie du stockage avec la fibre et le iSCSI plus abordable. Les PRA (Plans de Reprise d'Activité) ne représentent plus un défi. Donc, à moins de bénéficier d'une infrastructure redondante, partiellement ou totalement virtualisée et de basculer d'une unité (groupement de baies) à une autre dans un environnement hybride, la répartition des charges est optimisée. Les procédures de sauvegarde-restauration deviennent avec le bare metal et la virtualisation plus efficaces sur le Cloud et si votre choix se porte aussi sur un serveur de sauvegarde local à chaud ou effectuer une sauvegarde effectué dans le cloud.

Le Cloud avec les évolutions des services permet avec le Desktop as a Service de déporter les applicatifs avec un accès sécurisé vers votre bureau. Citrix utilise "Receiver" qui est un plugin permettant de se connecter à l'interface du serveur Web qui intègre les applications ou il est possible de se connecter via l'agent Citrix actuel "Secure Access" (historiquement agent ICA) pour un accès direct au profil itinérant de l'utilisateur. Il devient alors possible dans la mesure ou la sécurité est bien respectée, de se partager le travail à l'aide d'un Groupe de travail. Vous pouvez implémenter un Groupware Microsoft SharePoint sur IIS et SQL serveur qui permettra de mettre à disposition des utilisateurs une plateforme applicative pour collaborer avec Office 360 et travailler à distance (en mode connecté ou déconnecté). Vous devrez choisir le "mode" de Cloud à utiliser (hybride, public ou privé). Comme avec le VDI, vos applicatifs sont accéssibles à distance sans être installées sur votre PC. Microsoft a déjà commencé à déployer son service Office 365, qui propose des ordinateurs personnels virtuels fonctionnant sous Windows 10-11 et leurs couches de virtualisation. Le service vous donne accès à un ordinateur Windows en cloud qui fonctionne exactement comme un ordinateur physique. L'ordinateur virtuel peut être diffusé sur le périphérique de votre choix. En tant que client ou machine virtuelle vous accédez aux applications qui par analogie sont "streamées" sur votre PC. Lorsque vous ouvrez Sharepoint pour collaborer avec Office 365 ou toutes autres applications vous le ferez à partir du serveur virtuel distant et vous pourrez travailler à plusieurs sur un planning ou un ordonnanceur. Avec le Software Define Networking, les serveurs, mais aussi composants ou périphériques réseaux sont externalisés sur une couche applicative et cela donne une vision nouvelle du réseau avec un GUI et le Cisco DNA Center qui peut s'avérer très riche en informations et apparaître bien plus complet. Les lignes de commandes ou command line interface restent cependant importantes, voire éssentielles à connaitre...

Cependant, vous devrez comme tous bons techniciens, aborder les nouveautés et subtilités des réseaux et leur évolution (Routage, réseau commuté, pare-feux, ACL's, virtualisation, VLAN, VPN, SDN ou SD-WAN) et redoubler d'efforts pour se mettre à la page afin de comprendre les technologies qui se développent plus ou moins rapidement.

Comment installer Citrix Secure Private Access service pour le Cloud Citrix

VMWare et réseau virtuel

VSwitch et VSphere 6.7

Le réseau virtuel

Voir sur Software Define Access et DNA Center de Cisco

Nouvelle génération de Wan avec Cisco Secure SD-WAN

Agent et API (Programing Interface) ?

AWS automation avec Ansible en 3 parties (part1)

Introduction à Ansible

Le on-premise conçu pour l'hybride

De plus en plus, les systèmes "on-premise" sont conçus pour le cloud hybride (Infrastructure hébergée et maintenue par l'informatique de l'entreprise avec des services "sensibles" externalisés sur le Cloud). SQL Server 2016 construit un cloud directement dans le serveur, et un nombre croissant de services "d'orchestration" font au plus simple pour migrer les machines virtuelles dans le cloud quand vous avez besoin de plus de capacité.

Si vous utilisez l'appliance de stockage StorSimple de Microsoft, vous obtenez un réseau de zone de stockage "infini". Il ressemble à un SAN pour votre infrastructure sur site, mais de la même manière que la déduplication, la compression et la hiérarchisation de vos données, il sauvegarde automatiquement les clichés et les données froides sur le cloud de votre choix (Azure, Amazon S3 ou OpenStack). Les données sont cryptées et vous pouvez vous connecter à l'aide d'ExpressRoute, mais vous déplacez des données vers le cloud sans intervention humaine. Cette automatisation et cette connexion transparente rendent faciles le déplacement des données et des charges de travail vers et à partir du cloud sans que personne ne prenne une décision spécifique à chaque fois. Et cela signifie que vous devez avoir votre politique de sécurité clairement définie à l'avance, et appliquée automatiquement.

StorSimple - Présentation de la migration

Lire: aussi la virtualisation des postes de travail ThinApp de VMware

Virtualisation de l'infrastructure des postes de travail

Lire: VMWare ThinApp

Qu'est-ce HyperV

Lire: Virtualisez vos applications sur Réseaux et Télécoms.

Capacité d'optimisation d'infrastructure: processus de gestion ITIL/COBIT 

Microsoft Technet: l'optimisation d'infrastructure

Lire "les enjeux technologiques de l'information et de la communication

Article de Michel Bauwens à propos du P2P sur Wedemain.fr

La neutralité du Net sur "La quadrature du net".

Pouvez-vous faire confiance à votre ordinateur personnel ?" Article publié il y a plus de 20 ans en 2002 par R. Stallman.

Ce qu'il fallait savoir en 2001 sur les méthodes marketing et le ciblage sur Internet.Tiré du site Uzine.net

 

 

1foplus-2021-22

En ligne

Nous intervenons à distance en toute confidentialitée

Avec un suivi de vos interventions et cela en toute confidentialité.

L'analyse de l'état de vos ressources et la vérification de l'intégrité de votre système.

La mise en oeuvre de vos sauvegardes avec des applications natives ou issue d'éditeurs tiers.

Pour bénéficiez d'une connexion à un espace privé et accéder à vos devis et factures.

Une assistance à distance de votre PC quelque soit le système; Microsoft, Mac OS, Linux, Android, etc.

 

BENEFICIER D'UNE ASSISTANCE A DISTANCE

L’Internet of Things (IoT) décrit le réseau de terminaux physiques, les « objets », qui intègrent des capteurs, des softwares et d’autres technologies en vue de se connecter à d’autres terminaux et systèmes sur Internet et d’échanger des données avec eux. Ces terminaux peuvent aussi bien être de simples appareils domestiques que des outils industriels d’une grande complexité. Avec plus de 7 milliards de terminaux IoT connectés aujourd’hui, les experts s’attendent à ce que ce nombre passe de 10 à 22 milliards d’ici 2025. Oracle dispose d’un réseau de partenaires de terminaux.

1 - Positionnez votre souris sur la zone de l'image ci dessous à l'endroit ou est indiqué dans une bulle blanche pour lancer Teamviewer version 15 ou 16

Teamviewer cliquez sur Démarrer ici si vous voulez utiliser TeamViewer sans l'installer

2 -Cliquez ensuite sur Exécuter ou Enregistrer. En effet, deux options s'offrent à vous; si vous désirez exécuter et installer le logiciel, cliquez sur Enregistrer, pour vous en servir en tant qu'application installée. Vous pourrez alors lancer l'application à partir de votre disque dur. Sinon lancer directement l'excécutable juste après le téléchargement.

Suivez les indications des écrans qui s'affichent ci-dessous

Télécchargez Teamviewer

Une fois que Teamviewer est téléchargé, cliquez sur Enregistrer pour lancer l'exécutable et installer l'application, cliquez sur Exécuter.

Un fois que l'excécutable est lancé cette fenêtre s'affiche

Démarrer Teamviewer

(La zone cochée "Démarrer seulement" ci-dessus permettra d'utiliser TeamViewer grace à son module de communication, sans installer le logiciel sur votre PC)

3 - Démarrer directement l'application en mode Portable. Si vous choisissez de l'installer sur votre PC: enregistrez l'application puis cochez sur "Installer" puis sur la case "Utilisation non commerciale" pour une utilisation personnelle ou cochez la case "les deux" si vous voulez une assistance technique de la part d'un prestataire.

4- Acceptez les termes de la licence puis cliquez sur "Suivant" pour accéder à la fenêtre des identifiants

Lancement de la session

5 - Faites nous parvenir L'ID puis le Mot de passe de la zone "En attente de session "par téléphone au : 09.##.##.##.##
Ces identifiants permettront de créer une connexion entre les machines via un canal sécurisé crypté. Nous serons alors, en mesure de vous dépanner rapidement grâce à Internet.

TELECHARGEZ TEAMVIEWER

Télécharger TeamviewerTeamViewer pour Windows Cliquez sur l'icône pour télécharger la version 15.32.3

MacTeamviewer pour MacOS

MobilesTeamViewer pour iphone, ipad, Androïd

 

TROUVEZ VOTRE ISP EN LIGNE

www.antennesmobiles.fr

D'après certains sites la couverture mobile serait:
de 92,83% de couverture 4G par Bouygues Telecom en Haute-Savoie.
de 77,09% de couverture 4G par Free Mobile (l'offre la moins couverte de Haute-Savoie)
Heureusement entre 93% et 77% il y a les quelques offres d'autres fournisseurs !

Pour la téléphonie mobile avoir la 5G c'est bien mais vous ne pouvez pas l'utiliser si vous êtes entouré d'antennes 2-3-4G. L'exemple d'un supermarché avec la fibre est bien adapté. La plupart des gérants utilisent une offre ADSL ou VDSL voir VDSL2, car il vous faut installer un réseau ségmenté pour des raisons de sécurité. A savoir le réseau principal relié au routeur avec le serveur et les PC ainsi que les caisses, 1 sous réseau WiFi avec un ou plusieurs Point(s) d'accès pour les caméras de surveillance, un autre sous réseau pour piloter l'écran de contrôle avec une application, sur mobile ou tablettes pour les alertes, la planification des tâches, la surveillance qui se déclenchera en fonction des scénarios crées...Cette interface permettra de surveiller vos locaux avec votre smartphone ou que vous soyez !

ADSL, ADSL2+, VDSL, VDSL2 OU FIBRE

La carte des noeuds de raccordement (NRA) indique la localisation des centraux qui répartissent l'internet haut-débit grâce au réseau téléphonique installé non loin de votre lieu d'habitation.

NRA = Noeud de Raccordement des Abonnés, se trouve dans les centraux téléphoniques

Explication des offres:

- ADSL: Débit descendant (download) entre 1 et 4 Mb/s et débit montant (upload) inférieur à 1 Mb/s
- ADSL2+: Débit descendant "thTROUVEZ VOTRE ISP EN LIGNEéorique" de 20 Mb/s qui plafonne plutôt à 8-10 Mb/s dans la plupart des cas.
- VDSL: Débit descendant max de 50 Mb/s en download, mais limité à 20 Mb/s dans la pratique.
- VDSL2: plafond théorique de 80 à 100 Mb/s, permet concrètement environ 50 Mb/s pour les lignes les plus performantes (Raccords les plus proches du NRA).
- Fibre optique: Plafond limité à 1 à 10 Gb/s. Tous les FAI ne proposent pas la même vitesse de connexion. En réalité il n'y a pas trop de différence, mais Free apparaît plus performant.

Pour résumer:
Si vous avez le choix, prendre les forfaits que le NRA peut vous proposer ADSL2+, VDSL ou VDSL2 vous pouvez aussi inclure une offre mobile pour la première année au prix de l'offre la moins cher. Si cela ne conviennait pas vous pouvez toujours tenter une offre plus puissante, comme passer de à la VDSL2 ou à la fibre. Ou changer de fournisseur ! Pour la fibre encore faut-elle qu'elle soit installée dans votre ville et que les raccords soient établis de la rue jusqu'à votre maison ou votre immeuble. Rassurer vous, si vous habitez dans une copropriété cela sera gratuit. De même pour une maison "individuelle" le raccord de la rue à votre maison est gratuit si vous pouvez justifier que 3 personnes habitent la maison. Vérifiez quand même l'information, mais j'ai cru comprendre que le raccord à la fibre était gratuit actuellement.

Mais pour un particulier qui utilise la TV, Internet, ADSL, 2+ ou VDSL2 (Virtuel DSL) peuvent être largement suffisant.

Taux de couverture des NRA sur le département de Haute Savoie :

https://www.ariase.com/box/carte-couverture-internet

Attention : Choisir un central (NRA) qui soit idéalement situé à moins de 3km de votre habitation (Les NRA répartissent les lignes ADSL chez les particuliers, les paramétrages pour ADSL2+ ou VDSL2 se font à partir des répartiteurs et commutateurs du Central).

Voir:https://www.degrouptest.com/faq/comprendre-affaiblissements-ADSL.php

Voir en dynamique le Central de "LES GETS" par exemple:
https://www.ariase.com/box/carte-nra

ENFIN pour tester votre élégibilité et le débit de votre connexion, voir sur le site: www.ariase.com
Une fois sur le site, indiquez votre ville puis cliquez sur le bouton orange à gauche du Léman ;-) pour tester les offres compatibles. Evitez les offres privées ou inconues, histoire de bénéficier d'un support qui ne soit pas situé au Sénégal ou au Camerou, pays ou les connexions ADSL sont tellement tributaire de l'electricité (les coupures sont constantes) que même les techniciens les plus aguéris ne savent pas tout à fait comment reseter un décodeur en fonction de la marque: Choisissez plutôt, Orange, Bouygue, SFR, Free, enfin un opérateur connu ! Car si la foudre s'abat à côté de votre central vous risquez de galérer avant de remettre tout votre bazar en marche, même à l'aide de l'assistance téléphonique locale...

La carte des noeuds de raccordement (NRA ou en français Noeud de Raccordement d'Abonnés) indique la localisation des centraux ADSL qui fournissent l'internet haut-débit grâce au réseau téléphonique dans votre ville.

NRA-Noeud de Raccordement d'Abonnés-Léman Haute Savoie


LoupeCliquez pour agrandir

 

OUTILS PRATIQUES

Générateur de mots de passe securisés

Vérifiez l'accès et la sécurité de votre box ou routeur internet

 

1foplus-2021-22

Expertise

Nous intervenons principalement dans les Hauts de Seine et sur Paris, mais aussi en région parisienne en fonction de vos demandes.

Nos zones d'interventions ; les Hauts de Seine et Paris Cliquez pour accéder à Google Map

Spécialisés dans la mise en oeuvre et le déploiement des systèmes en environnements distribué, centralisé-Cloud et hybride, nous proposons des solutions de;

- Architectures réseaux
- Gestion d'infrastructures et virtualisation,
- Implémentation de solution systèmes ITSM et réseau SDN
- Solutions n-tiers; GED, CMS, LMS, e-commerce et espaces collaboratifs, (WSS 3.0, SharePoint Server 2010, MOSS 2007-12, Foundation et Server 2013),
- Sécurité des systèmes et réseaux,
- Sauvegarde et stockage.

INSTALLATION ET GESTION D'APPLICATIONS
- Visioconférence, VOIP, traitement de l'image (retouches, effets), imagerie médicale, montage vidéo, logiciels de création musicale et de reconnaissance vocale.

MIGRATION ET DEPLOIEMENTS
- Migration, Linux, Windows.
- Déploiement systèmes et applications à l'aide d'outils tels que SCCM, WDS, Microsoft Deployment Toolkit (MDT).
- Utilisation de Microsoft System Center, Configuration Manager, Endpoint Protection.
- Sauvegardes avec archivage, stockage et transfert des données sur NAS, SAN via canal sécurisé, VPN, etc.

RESEAUX ET PARTAGE PERIPHERIQUES
- Filaire (Ethernet, CPL), sans fil ( Wifi, 3-4-5G)
- Partage des données sur LAN (SMB)
- Accès distant. (RDP, VPN, etc.)

SECURISATION D'INFRASTRUCTURES
- Pare-feu, antivirus, détection d'intrusion et supervision,
- Passerelle applicative, serveur web, DNS, SMB, etc.
- Sécurité des accès à distance (SD-WAN, tunneling, VPN, certificats, etc.)

INSTALLATION DE CMS, GED, LMS ET GROUPWARE SHAREPOINT
- Installation de SharePoint portail server sur Windows 2003-2008-2012 avec SQL server.
- Intégration de composants Webpart pour Sharepoint.
- Implémentation de CMS, GED et LMS avec gestion des contenus et maintenance.

 

PORTAILS COLLABORATIF ET GROUPWARE

Le portail collaboratif Sharepoint de Microsoft est un produits propriétaire de Microsoft que nous implémentons sur serveur web Internet Information server (IIS) avec SQL Server.

Windows SharePoint Services (WSS) est un moteur de groupware pour sites dynamiques, Il permet aux utilisateurs de partager des documents de la suite Microsoft Office et des messages électroniques en ligne comme sur un Intranet. Microsoft Office SharePoint Server (MOSS), auparavant appelé Microsoft Office Sharepoint Portal Server est un logiciel payant, permettant de réaliser des pages web dynamiques dans un espace de collaboration d'entreprise. Les fonctionnalités sont la gestion de contenus, le moteur de recherche, les formulaires, les statistiques décisionnelles, le partage de documents, groupes de discussion, tâches, etc..

Cette solution de collaboration pour PME avec Office 365 offre la possibilité de travailler en équipe sur un même document, avec de nombreux formats pourvus qu'ils soient compatibles (Excel, Word, Powerpoint, Acrobat, Visio, etc.) SharePoint permet de partager les documents en production, il améliore la qualité du support, assure le suivi, l'automation de services comme pour effectuer les plannings et assurer des tâches spécifiques d'un projet ou un processus de Workflow. Nous implémentons les versions SharePoint services v2-3, Sharepoint Portail Server 2007-10-12 et Microsoft Office Sharepoint serveur (MOSS 2010-2013) avec Office 365.

L'Avenir de L'ITSM dans les Groupware et la collaboration => Lire

Lire l'installation de Sharepoint 2013 en stand alone sur Windows Serveur

Lire le document: SharePoint et workflow

Lire la Faq Sharepoint

Expert_SharePoint_2010_Practices

Lire l'article qui présente les offres sur le site medevel.com

 

1foplus-2021-22

Infos techniques

SECURISER LE PROTOCOLE SMB CONTRE LES RANSOMWARES (Wannacry, Notpetya, LockBit...)

Les responsables de certains sites croient à tort que les données qu’ils abritent n’étant pas toutes confidentielles, l’enjeu de la sécurité est limitée. Lorsque vous détenez votre propre serveur web il vous faut assurer sa sécurité et vérifier les logs de connexions, afin d'éviter l'indisponibilité de vos ressources quelques soient les services; partages, site web, groupware, vente en ligne, etc. Accepteriez-vous que le trafic réseau que vous payez cher chaque mois, soit utilisé à 80 % par un botnet, ou exploit ? Que votre serveur de messagerie soit utilisé pour relayer des spam ? Ainsi, quel que soit le site et ses applications, il existe de vraies exigences qui justifient la mise en place de mesures de sécurité spécifiques, (pare-feu, authentification renforcée, SSL, Certificat, VPN pour SD-WAN ) et la nécessité de patcher vos machines pour éviter toutes formes d'intrusion, scan de ports, defacing, DNS Hidjaking, attaque par "brute-force" "spoofing" et élévation de privilèges, sans compter les autres pièges et ils sont nombreux; de la redirection de liens, l'url forwarding, le port forwarding ou redirection de port, virus, trojans et autres malware dans les pièces-jointes de votre messagerie...

Le dernier ransomware s'appelle "LockBit" => Lire ce que vous devez savoir sur ce rançongiciel LockBit.

Historiquement le protocole SMB utilisait la couche NetBIOS. Cependant le protocole NetBIOS était connu pour générer du broadcast avec la résolution de nom du protocole NetBIOS Name Server. Pour pallier se problème, il fallait installer un serveur WINS, et déclarer le serveur WINS dans les paramètres de la carte réseau si NetBIOS était activé. Avec Windows 10 le protocole NetBIOS est abandonné et remplacé par SMB, pour partager des informations avec plus de sécurité. Lire le bulletin d'information du Cert

SMB a toujours été un protocole de partage de fichiers sur le réseau avec les serveurs Samba. À ce titre, il a besoin de ports réseau sur un ordinateur ou sur un serveur pour communiquer avec les autres clients systèmes.
SMB utilise les services et ports TCP: RPC port 135 et SMB port 445.

Le nouvel "explorateur" de Windows 11

Un équivalent à l'Explorateur de fichiers Windows" nouvelle génération. Enfin le design diffère, mais il est assez similaire à l’explorateur de fichiers de Windows en plus étendu. Il intégre les Clouds (OneDrive) pour vous permettre de gérer directement vos documents ou photos depuis ces emplacements et vous bénéficiez de la possibilité de visionner le contenu des fichiers en ligne.

Sur un petit RLE comptez avec les lecteurs réseau pour mapper le nom d'un serveur de partage sur un PC client, sinon une solution alternative est d'utiliser à la place de l'ancien Explorateur de fichiers de Windows 7 ou de passer par le cloud de votre choix pour imprimer, échanger, partager.

Exploit Intrusion.Win.MS17-010 via protocole SMB sur port 445 d'un PC sous Windows

A partir de Windows serveur 2016 la version SMB est la 3.11 et il en est de même pour Windows 10 depuis (1607 à 21H2) Si vous devez désactiver le protocole SMBv2-3 pour des raisons de connectivité entre vos serveurs et les clients vous devrez re-paramétrer SMB en fonction de la version de SMB que serveur utilise. Pour les clients Windows il convient de souligner que ce contournement protège le "service serveur" SMB et ne nécessite pas nécessairement de redémarrage. En revanche, les clients SMB restent toujours vulnérables.

Lorsque Microsoft fait évoluer le protocole SMB, le but est de renforcer la sécurité, notamment la sécurité des échanges avec des algorithmes de chiffrement plus robustes (AES-128-GCM avec SMB V3.11)

En production, le SMB version 1 ne doit plus être utilisé, car il contient des failles de sécurité. En 2017, une faille dans SMB v1 a fait beaucoup de bruit : EternalBlue-CVE-2017-0144. Elle a été exploitée pour compromettre des millions de machines dans le monde et elle a été utilisée par des ransomwares ravageurs. Depuis, Microsoft a corrigé cette faille, mais cette version n'est plus maintenue. Cette version est obsolète et dépréciée depuis 2014 ! WannaCry, l'attaque ransomware la plus connue, utilise une faille dans le protocole SMB de Microsoft, laissant tous les ordinateurs non corrigés et connectés à Internet vulnérables aux attaques.  D'autres attaques exploitent des services de bureau à distance ou Remote Desktop non sécurisé, analysant par scan de ports via Internet des systèmes vulnérables. Afin d'éviter cette faille, désactivez manuellement le service SMBv1 pour passer en version 2 ou 3 plus sécurisés.

Description; Server Message Block (SMB) est un protocole réseau de couche application qui fonctionne sur les ports TCP 139 et 445. Ils sont largement utilisés pour le partage de fichiers et d'imprimantes et l'accès aux services distants. Une "Intrusion.Win.MS17-010" cible les ordinateurs Windows et exploite les vulnérabilités du réseau SMBv1 (utilisées comme ransomware pour WannaCry, ExPetr- ransomware, etc.). Microsoft à tenté de corriger la faille dans le Bulletin de sécurité Microsoft MS17-010: Lire sur MSDN


LoupeCliquez pour agrandir

Cependant Microsoft n'a identifié aucun "facteur atténuant" sur Microsoft Technet pour ces vulnérabilités. Les solutions de contournement suivantes peuvent être utiles.

Selon votre situation :
- **Désactiver SMBv1** pour les clients exécutant Windows Vista et versions ultérieures. Voir l'article 2696547 de la Base de connaissances Microsoft

**Méthode alternative pour les clients utilisant Windows 8.1, 10 ou Windows Server 2012 R2 et versions ultérieures**
Pour les systèmes d'exploitation client :
1. Ouvrez le "Panneau de configuration", cliquez sur "Programmes", puis cliquez sur "Activer ou désactiver des fonctionnalités Windows".
2. Dans la fenêtre Fonctionnalités de Windows, désactivez la case Support de partage de fichiers SMB 1.0/CIFS, puis cliquez sur "OK" pour fermer la fenêtre.
3. Redémarrez le système

FONCTIONNALITES DE SMBv3

SMB 3.0: Stockage des fichiers pour virtualisation (Hyper-V™ sur SMB). La technologie Hyper-V permet de stocker des fichiers d’ordinateur virtuel, par ex une configuration, des fichiers de disque dur virtuel (VHD) et des captures instantanées, dans des partages de fichiers sur le protocole SMB 3.0. Cette méthode peut être employée à la fois pour des serveurs de fichiers autonomes et des serveurs de fichiers en cluster utilisant Hyper-V et conjointement avec un système de stockage de fichiers partagés destiné au cluster.

Microsoft SQL Server sur SMB. SQL Server permet de stocker des fichiers de base de données utilisateur sur des partages de fichiers SMB. Pour l’heure, cette méthode est prise en charge avec SQL Server 2008 R2 pour des serveurs SQL autonomes. Les prochaines versions de SQL Server proposeront une prise en charge des serveurs SQL en cluster et des bases de données système.

Stockage classique pour les données de l’utilisateur final. Le protocole SMB 3.0 apporte des améliorations aux charges de travail des utilisateurs professionnels de l’information (Information Worker ou client). Ces améliorations réduisent notamment les valeurs de latence des applications auxquelles sont confrontés les utilisateurs des filiales lorsqu’ils accèdent à des données sur des réseaux étendus (WAN) et protègent des données contre des tentatives d’écoute clandestine.

Créer un partage SMB sous Windows 8.1 et 10

Étant donné que le service "Explorateur d’ordinateurs" s’appuie sur SMBv1, le service est désactivé lorsque SMBv1 est désinstallé. (sur le Serveur ou le client). Cela signifie que l’explorateur n'affiche plus "L'explorateur d' ordinateurs" de la même manière qu'autrefois via la méthode d’exploration des datagrammes NetBIOS héritée.

D'une part, il est fortement conseillé de mapper des lecteurs réseau pour les partages et imprimantes au lieu de passer par la fonctionnalité de "l'Explorateur d'ordinateurs". D'autre part les ressources mappées sont plus faciles à localiser et plus sûres à utiliser. Les fonctionnalités SMB version 2,0, 3,0 sont toujours entièrement prises en charge et incluses par défaut dans le cadre des binaires SMBv2. Lorsque vous activez SMBv2 sur Windows 7, 8, 8.1, 10 ou Windows Server 2008 à 2012 SMBv3 est également activé. Ce comportement se produit parce que ces protocoles partagent la même pile.

A partir de Windows Serveur 2016 la version 3.11 est activée. Si vous devez désactiver le protocole SMBv2-3 pour des raisons de connectivité entre le serveur et le client vous devrez re-paramétrer SMB sur Lanmanworkstation en fonction de la version serveur que vous utilisez. SMB et la 3.11 pour Windows 10 peut être activé depuis la version 1607 jusqu'à la version 21H2. Lorsque Microsoft fait évoluer le protocole SMB, le but est de renforcer la sécurité, notamment la sécurité des échanges avec des algorithmes de chiffrement plus robustes (AES-128-GCM avec SMB V3.11) il convient de souligner que ce contournement protège le "Service serveur" SMB et ne nécessite pas nécessairement de redémarrage. En revanche, les clients SMB (Lanmanserver) même sous Windows 10 dans certains cas restent toujours vulnérables si vous n'éffectuez pas les changements avec Powershell.

Créer des partages sous Windows 10

Concernant SMB si la valeur de SMBv1 est à 0 ou non présente, cela signifie que SMB1 est désactivé. En revanche si SMB2 à une valeur "DWORD" à 1 c'est que SMBv2 est le protocole de Partage local et distant. Le protocole devrait avoir la même version sur le Service Serveur (LanmanServer)que sur la station de travail (LanmanWorkstation). Prenez le temps de désactiver IPv6 uniquement sur l'interface du connexion au réseau local si vous êtes sur un petit réseau. Cela facilitera la configuration de NAT pour d'autre fonctionnalités, comme un serveur web. Notez que sur Windows une IP fixe en IPv4 facilite la configuration du NAT celui-ci est utilisé pour les jeux en réseau, le P2P et bien d'autres choses encore. Seul une IP fixe en IPv4 est nécessaire pour être renseignée sur votre routeur ADSL, ADSL-VDSL ou Fibre. Mais le sujet de IPv4 et v6 sera traité plus tard.

MAPPER VOS DOSSIERS DE PARTAGES, CREER VOS LECTEURS RESEAUX

Ports dédiés à NetBIOS et SMB

135 - TCP
Microsoft EPMAP (End Point Mapper),
aussi connu pour DCE/RPC service ,
utilisé pour gérer à distance;
DHCP server,
DNS server et WINS.
Utilisés avec DCOM.

137 - UDP
NetBIOS Name Service

138 - UDP
NetBIOS Datagram Service

139 -TCP
NetBIOS Session Service

445 -TCP
Microsoft-DS SMB file sharing
Microsoft-DS Active Directory, Windows shares

Vous pouvez utiliser un pare-feu pour bloquer toutes les tentatives d'intrusion et filtrer les ports SMB; 139 et 445 ainsi 135, 137, 138, 139 de NetBIOS
(le protocole SMB s'appuyait sur NetBIOS et le port 139 pour contacter l'hôte)
Les ports concernés par une règle de filtrage normale à savoir NetBIOS mais pas SMB: 137-139 et éventuellement certains ports dynamiques... 1110, 2869, 19780

Vous pouvez créer une règle sur votre pare-feu pour SMB sur les ports: 135 et 445 en TCP et UDP entre les PC de votre organisation. Si vous ajoutez les ports 135,445 puis sur les ports dynamiquesafin de partager sur le RLE mais aussi de l'extérieur, les Imprimantes et dossier-fichiers partagés de manière beaucoup plus sécurisé. En effet, si votre règle s'applique aux ports 139 et 445 la plupart des tentatives de connexions aux partages avec un compte Système "spoofé" (élévation de privilèges par un assaillant du compte "SYSTEM" ou SYSTEME en Français) seront plus compliqués à exécuter à partir d'un scan de ports extéreur. Utilisez la commande Netsh lorsque vous partagez une connexion SMB afin de voir sur IPv4 quelle plage de ports dynamiques vous utilises et Powershell vous permettra via son interface de créer des mappages réseau.

Powershell

<#Il est nécessaire d'entrer après le nom du mappage #>
Set-Location -Path "Share:"
Puis faites un dir ou tree
PS>Share:\>dir

Celai fera apparaître le nom du répertoire \\SRV-PARTAGES\Share

Pour mapper le partage réseau en tant que lecteur réseau entrer la commande ci-dessous :
New-SmbMapping -LocalPath "P:" -RemotePath "\\NOM_DU_SRV\Nom_Partage"

Il est quand même préférable de mettre les PC de votre structure avec des système homogènes pour être sûr de bénéficier d'une compatibilité amméliorée.

Si votre structure n'est pas un réseau local d'entreprise RLE avec à titre d'exemple un pare-feux, faites en sorte que les protocoles NetBIOS et SMB en TCP (connexion) et en UDP (transfert de datagrammes) soient bloqués pour toutes tentatives de connexion via internet. Cependant, sur un Workgroup, Homegroup ou Réseau Résidentiel pour la connexion au réseau local vous devrez renseigner les adresses IP du serveur d'impression et-ou serveur de partage avec les postes du réseau local qui pourront y avoir accès. Plus particulièrement si vous êtes toujours sous 7 !


LoupeCliquez pour agrandir

Lancez une commande MS-DOS en tant qu'Administrateur pour voir si les ports des partages sont ouverts et en connexion avec quels PC:
netstat -a -f -o

Voir: les ports utiles TCP et UDP pour clients et serveurs Windows

Lire: dépannage des ports alloués aux services sur serveurs Windows

Entrez la commande suivante pour identifier vos ports IPv4 liés à IPv6 sur les ports dynamiques:
netsh int ipv4 show dynamicport tcp
netsh int ipv4 show dynamicport udp

La plage de ports dynamiques commence à partir du port 49152 jusqu'àu dernier port 65535. Soit près de 16383 ports utilisables (prendre en compte les ports alloués aux applications)

Depuis WS2K8 la plage des ports dynamic allouée (enregistrés et privés) a changé:

netsh int ipv4 set dynamicport tcp start=10000 num=1000
netsh int ipv4 set dynamicport udp start=10000 num=1000
netsh int ipv6 set dynamicport tcp start=10000 num=1000
netsh int ipv6 set dynamicport udp start=10000 num=1000

Port utiles sur Windows serveur

Ports utilisés dans Configuration Manager

Lire: Comment empêcher le trafic SMB d’avoir des connexions en cours et d’accéder ou de quitter le réseau local qui nécessite d'avoir un pare-feu en aval.

Lire: Comment savoir si quelqu’un s’est connecté à votre ordinateur

Si les ports 135 et 445 sont à "l'écoute" (Listenning) et "Established", sur votre réseau local des règles de Pare-feu entre votre serveur et les postes du LAN, WAN s'imposent.
Ajouter l'IP du serveur de Partage avec les ports 135 et 445 pour TCP/UDP et mettez le réseau local, un sous réseau voir une plage d'adresse IP si vous l'avez préalablement renseignées sur votre DHCP.
Preférez des ports dynamiques pour les PC qui établieront une connexion avec le serveur de partage.

Pour avoir une idée de la surface de nuisances utilisez la commande MS-DOS "Net share" qui indique les partages sur vos volumes Windows avec IPC$ qui permet une connexion avec un compte doté de privilèges. Imaginez si vous avez un serveur web et un serveur NAS en partage...

Avec PowerShell :
PS C:\Users\Administrateur> Get-SmbShare
Name ScopeName Path Description
---- --------- ---- -----------
ADMIN$ * C:\WINDOWS Administration à distance
C$ * C:\ Partage par défaut
D$ * D:\ Partage par défaut
IPC$ * IPC distant
K$ * K:\ Partage par défaut

La commande MS-DOS "Nbtstat" (lire sur le site de Microsoft)
Cette commande est utilisable si le serveur de nom WINS et NetBIOS sont installés dans les paramètres d’une carte réseau.

N'oubliez pas aussi de vérifier le cache DNS côté Client avec les commandes:
ipconfig /displaydns >C:\verifcachedns.log
ipconfig /flushdns

Flushdns videra le cache DNS si vous avez laissé coché la case "Enregistrer les adresses dans le système DNS":

Lister le contenu d'un répertoire exemple site Web complet

Pour vérifier la version SMB de Windows ouvrez l'invite de cmd MS-DOS "En tant qu'Administrateur"
puis tapez la commande "SC.EXE"

1-Détecter sur Workstation
sc.exe qc lanmanworkstation

2-Désactiver SMB v1
sc.exe config mrxsmb10 start= disabled

SMB v2 sur client SMB

1-Identifier sur Workstation
sc.exe qc lanmanworkstation

Changement de Version SMB

2-Activez SMBv2 sur Lanmanworkstation (cmd en tant qu'administrateur):
sc.exe config lanmanworkstation depend= bowser/mrxsmb10/mrxsmb20/nsi

Ou directement via ces commandes "en tant qu'administrateur"
sc.exe config lanmanworkstation depend= bowser/mrxsmb20/nsi
Puis
sc.exe config mrxsmb20 start= auto

Vérifier l'état du protocole SMB

Ce qui affiche:
SERVICE_NAME: lanmanworkstation
TYPE : 20 WIN32_SHARE_PROCESS
START_TYPE : 2 AUTO_START
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME : C:\Windows\System32\svchost.exe -k NetworkService
LOAD_ORDER_GROUP : NetworkProvider
TAG : 0
DISPLAY_NAME : Station de travail
DEPENDENCIES : bowser
: mrxsmb20
: nsi
SERVICE_START_NAME : NT AUTHORITY\NetworkService

Puis Redémarrer.

Vérifiez avec la stratégie de sécurité locale sous Windows en entrant dans le champs Exécuter "SECPOL.MSC"


LoupeCliquez pour agrandir

Si les paramètres de vos stratégies ont été changées et que des érreurs empêchent certaines "Exécutions" vous pouvez remettre la stratégie de sécurité par défaut à condition de l'avoir sauvegardé:

Utilisez les cmdlet Powershell

Ouvrez une invite de commandes ou comme ci-dessous avec Powershell "en tant qu'Administrateur" avec le registre .
Ensuite copier sur notepad puis collez les commandes dans la fenêtre MS-DOS:
PS>C:\Windows\System32>RD /S /Q "%windir%\System32\GroupPolicyUsers"
RD /S /Q "%windir%\System32\GroupPolicy"
Puis
gpupdate /force


LoupeCliquez pour agrandir

Vous pouvez vérifier la version de SMB pour LanmanServer avec le registre,
utilisez "regedit.exe" ou regedt32 (32 bits) puis allez :
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters


LoupeCliquez pour agrandir

Vérifiez que la valeur SMB2 à bien une valeur DWORD à 1. Si SMB1est mentionné avec la valeur à "1" c'est que le prorocole SMB1 est encore actif. Désactivez le

Vous devrez redémarrer l’ordinateur après avoir apporté des modifications au registre.
Pour plus d’informations, consultez stockage serveur chez Microsoft.

IMPORTANT:

Après le service "station de travail" ou LanmanWorkstation, faites de même avec le service serveur "LanmanServer".
Attention cependant avec le paramétrage de SMB car les machines de votre réseau devront avoir la même version SMB.
Sinon il vous faudra faire marche arrière pour que le service "Explorateur d'ordinateurs" fonctionne en SMBv1.

Voici comment supprimer SMBv1 avec PowerShell sur Windows 7.

Ouvrez la console Powershell ou ISE "en tant qu'Administrateur"
Vérifier si SMBv1 est actif sur le Service serveur de Windows 7

- Identifier la version de SMB avec PowerShell
Get-Item HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters | ForEach-Object {Get-ItemProperty $_.pspath}
Configuration par défaut = activé (aucune clé de Registre n’est créée), donc aucune valeur SMB1 n’est retournée.

Si une valeur est retournée, désactiver SMBv1 sur le Service Serveur (LanmanServer) avec PowerShell
Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" SMB1 -Type DWORD -Value 0 –Force

Ce qui donne comme résultat:
PS>Get-ItemProperty HKLM:\SYSTEM\CurrentControlSet\services\LanmanServer\Parameters | ForEach-Object {Get-ItemProperty $_.pspath}
ServiceDll : C:\Windows\system32\srvsvc.dll
ServiceDllUnloadOnStop : 1
EnableAuthenticateUserSharing : 1
NullSessionPipes : {}
autodisconnect : 15
enableforcedlogoff : 1
enablesecuritysignature : 1
requiresecuritysignature : 1
restrictnullsessaccess : 1
Lmannounce : 0
Size : 1
AdjustedNullSessionPipes : 3
Guid : {23, 166, 124, 25...}
PSPath : Microsoft.PowerShell.Core\Registry::HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\LanmanServer\Parameters
PSParentPath : Microsoft.PowerShell.Core\Registry::HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\LanmanServer
PSChildName : Parameters
PSProvider : Microsoft.PowerShell.Core\Registry

Identifie avec PowerShell:
Get-WindowsOptionalFeature -Online -FeatureName smb1protocol

Désactivez SMBv1:
Disable-WindowsOptionalFeature -Online -FeatureName smb1protocol

Activer SMBv2/3 sur Windows 7 avec Powershell pour LanmanServer
Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" SMB2 -Type DWORD -Value 1 –Force

 

VERIFIER AVEC POWERSHELL LA VERSION DE SMB DU SERVICE SERVEUR

Activer toujours "en tant qu'Administrateur" SMBv2/v3 sur le Service serveur avec PowerShell

Si vous avez Windows 10, vous pouvez utiliser les cmdlets:
Get-SmbServerConfiguration" et Set-SmbServerConfiguration

Le cmdlt Set-SmbServerConfiguration vous permet sur un serveur d’activer ou de désactiver les protocoles SMBv1, SMBv2 pour mettre le serveur 2012 par exemple en version 3.11.

Nouvelle applet de commande pour service Serveur de Windows:
Set-SMBServerConfiguration

Désactive avec PowerShell SMBv1
Set-SmbServerConfiguration -EnableSMB1Protocol $false

Active avec PowerShell SMBv2/3
Set-SmbServerConfiguration -EnableSMB2Protocol $true

Identifie la version de SMBv2/3
Get-SmbServerConfiguration | Select EnableSMB2Protocol

Avec le résultat:
EnableSMB2Protocol
==================
TRUE

Cmdlets pour activer SMB v2/v3 sur les services serveur et client de Windows 8.1/10

Plus d’informations:

Guides Metasploit et Meterpreter pour les "pentester" et les ingéneurs réseau (Windows XP-7)

Lire partager des fichiers dans l'explorateur de fichiers sur windows 10 en passant par le cloud OneDrive

Quelle est différence entre CIFS et SMB ?

Pourquoi vous ne devez pas nécessairement activer le cryptage conforme à la norme FIPS sous Windows

Scénario d’échange de paquets de protocole Microsoft SMB et NetBIOS

Lire partager des fichiers dans l'explorateur de fichiers sur Win10 en passant par le cloud

Pourquoi vous ne devez pas "néssairement" activer le cryptage conforme à la norme FIPS sous Windows

Scénario d’échange de paquets de protocole Microsoft SMB et NetBIOS

Résolution avancée des problèmes liés au protocole SMB (Server Message Block)

Comment détecter désactiver ou activer de façon approprié SMB v1 pour SMB v2 ou v3 sur Windows 7, 8.1, Windows 10, Windows Server 2012 à 2016

Lire sur le site Microsoft la vue d’ensemble du partage de fichiers à l’aide du protocole SvMB 3 et Windows Server 2012, 2012 R2, 2016, 2019.

Si vous voulez utiliser le protocole SMB sur une machine distante via Internet via le services de nommage DNS, il vous faut lire sur le support Microsoft:
https://support.microsoft.com

Régler son pare feu Microsoft pour éviter les attaques sur le port 445 et SMB

Désactivez la mise en cache DNS côté Client et éventuellement Serveur (en fonction de son rôle)

Si vous voulez utiliser le protocole SMB sur Internet et que cela passe par le services de nommage DNS. Lire le support Microsoft.

Lire aussi "Comment migrer de Windows 10 Home à Pro gratuitement"

UTILISEZ "WSUSOffline" ET RELANCER LES CORRECTIFS WINDOWS DE 7 ET ANTERIEURS

Voici la procédure à suivre : Téléchargez WSUSOffline du site 01net.com
Ou sur le site officiel : https://www.wsusoffline.net/docs/

Dézipper le package Wsusoffline109.zip en fonction de la version de l' OS avec Winrar.
Placez le dans un répertoire sur un de vos volumes. Il n'est pas nécéssaire qu'il soit sur C:\. Une fois copié dans le répertoire, lancez l'exécutable "UpdateGenerator.exe". La fenêtre ci dessous s'affiche :

Utilisation de WSUS
Cliquez pour agrandir

Cochez les cases; "Verify downloaded updates", "Include Service Pack", "Include C++".
Allez dans les options " Create ISO image(s) puis sélectionnez "per selected product and language"

Indiquez l'endroit ou vous voulez créer l'image ISO des correctifs. Sous USB medium cochez la case "Copy updates for selected products directory" puis indiquez l'endroit ou tous les correctifs seront compilés en une image ISO, par exemple dans D:\PCSVGDE_KBases. Enfin appuyez sur Start. Une fois le processus terminé, vous allez retrouver vos corectifs pour Windows x86 et x64 ainsi que les correctifs pour poste de travail si vous bénéficiez d'un serveur WSUS, comme ci-dessous:

Dans %HOMEDRIVE% ou un autre lecteur D:\PCSVGDE_KBases\w61\glb vous trouvez les correctifs pour processeurs x86

Dans D:\PCSVGDE_KBases\w61-x64\glb vous trouverez les correctifs pour processeurs x64.
Si vous désirez relancer les mis à jour cliquez sur wsusoffline\client\UpdateInstaller.exe

Les images ISO pour x86 et x64 se trouvent dans le répertoire d'installation de WSUSOffline dans le dossier "ISO" comme ci-dessous.

Déployer les correctifs via WSUS

Il existe un script "Windows Update PowerShell Module" Téléchargable ici pour déployer via WSUS

Résoudre les problèmes d'update de Windows10

Téléchargez l'utilitaire de résolution des problèmes de Windows Update, puis sélectionnez Ouvrir ou Enregistrer dans la fenêtre contextuelle. Si le menu contextuel ne s’affiche pas, il se peut que votre bloqueur de fenêtres publicitaires soit activé. Si vous utilisez Microsoft Edge, les instructions pour désactiver le bloqueur de fenêtres publicitaires sont ici. Si vous utilisez un autre navigateur ou un bloqueur de fenêtres publicitaires distinct, consultez le site Web du bloqueur ou du navigateur. Si vous sélectionnez Enregistrer, une fois le téléchargement terminé, vous devez accéder au dossier dans lequel vous avez enregistré l’utilitaire de résolution des problèmes, puis double-cliquer sur le fichier "wu.diagcab" le plus récent, pour ensuite exécuter l’utilitaire. Cliquez sur Suivant et suivez les étapes de l'Assistant pour rechercher et résoudre les problèmes liés à Windows Update de Windows 10.

INCONTOURNABLES IMAGES ISO

Des sites proposent le téléchargement d'images ISO de Windows corrompues ou contenant des malwares ;-( C'est le cas de sites peu regardant (winmacsofts.com) qui proposent de télécharger des image ISO de Windows depuis le site de Microsoft. Le comble c'est que l'image ISO ne provient pas de chez Microsoft. Difficile alors de monter cette image ISO comme un système et de l'installer ou de virtualiser en convertissant en VHD. En fonction de votre hyperviseur ou logiciel de virtualisation; ISO, ISZ, VCD, TIB, WIM pour Windows, IMG ou DMG pour Mac OS...

*Ne téléchargez pas une image .ISO sans précautions*

De nombreuses images ISO sont corrompues car non officielles, elles peuvent contenir du code dangereux qui doit générer des alertes sur votre antivirus (Voir ci-dessous).

Alerte Kaspersky

Téléchargez une image ISO d'un système Microsoft Officiel !

2 possibilités s'offrent à vous pour récupérer une véritable image ISO de Windows: soit récupérer une image ISO de votre système sur le site Microsoft, soit aller sur le site heidoc.net. Ces images ISO serviront de "médias de redémarrage" de réinstallation ou de système portable pour Windows (utilisable sur une Machine virtuelle) ainsi qu'en cas de perte du votre DVD d'origine, avec votre Serial. Si vous avez une version OEM elle sera valable que pour la machine avec laquelle la version OEM est vendue. En principe l'OEM est rattachée à 1 machine et à ses composants matériels. La licence ne devrait fonctionner que sur cette machine. Donc gardez bien le numéro de Série de votre système Windows. Il existe cependant des moyens détournés et officiels de retrouver un "Serial" perdu.

1- Allez sur le lien suivant du site Microsoft avec votre numéro de série.

2- Autre option disponible avec l'utilitaire ISO Downloader du site heidoc.net.
Comme ci-dessous :

Avec la version 2.00 du logiciel Microsoft Windows and Office ISO Download Tool permet de télécharger toutes les versions de Microsoft Windows et d'Office. Pour la Version 2.03 la date de release est le 07-06-2016 et requière le .NET Framework 4.6.1 avec Internet Explorer 11, ainsi que la version Légale pour .NET Framework 3.5: Windows ISO Downloader Legacy.exe. Pour certaines fonctionnalités, référez vous aux articles sur les images ISO de Windows 7, de Windows 8.x et de Windows 10, ainsi celle d'Office 2013-16. Cette version 2.00 du logiciel Microsoft Windows and Office ISO Download Tool pour télécharger Microsoft Windows et Office.

La Version 2.03 requière les mêmes composants .NET Framework 4.6.1, IExplorer 11, version legale du .NET Framework 3.5: Windows ISO Downloader Legacy.exe

IISODownloader


SURVOL RAPIDE DE POWERSHELL

Windows PowerShell est l'environnement de script créé par Microsoft. Il est conçu pour fournir une solution unifiée de script et d'automatisation Windows, capable d'accéder à une large gamme de technologies telles que .NET, COM et WMI grâce à un seul outil. Depuis sa sortie en 2006, PowerShell est devenu le composant de toutes solutions de gestion basée sur le .NET Framework permettant le support aux scripts et à l'automation. Intégré depuis XP en option, puis nativement sur Windows 7. Cette interface en ligne de commandes ou CLI ressemble étrangement aux commandes Shell d'Unix. Il facilite la gestion des postes clients sur des parcs de moyenne et grande tailles sans avoir à implémenter un logiciel de gestion distribuée pour les postes avec une interface Java. L'utilisation de tâches, l'installation à distance de logiciels, des mises à jour ou l'accès aux postes d'une même structure en fait un outil d'administration incontournable. Il convient cependant de signer les connexions entre la console du poste d'administrateur PowerShell et les postes clients. Powershell est restreint sur Windows par défaut. Il faut paramétrer les Polices d'exécution et appliquer des signatures et authentifications chiffrées.

Vous pouvez le constater par une simple cmlet "Get-executionPolicy" sur Windows 7:
PS>C:\Users\Administrator.C-PC> Get-ExecutionPolicy
Restricted

Ressemblances entre batch MS DOS, PowerShell et bash Unix-Linux


LoupeCliquez pour agrandir


LoupeCliquez pour agrandir

Flèches Haut et Bas --> déplace le curseur de de Haut en bas.
Flèches Gauche et Droite --> Parcours la liste des dernières cmdes saisies.
MAJ --> Bascule en mode Insert et Replace.
Supp --> Supp le caractère de la position courante du curseur.
Espace Arr --> Supprime le caractère juste avant la position courante du curseur.
F2 --> Affiche l'hsitorique des dernières commandes.
TAB --> Complète automatiquement les éléments de la ligne de cmdes (Autocomplétion)

DEFINIR LES STRATEGIES D'EXECUTION DE POWERSHELL

PowerShell vous permet de créer et de lancer des scripts système avancés. Cependant, par défaut, les scripts PowerShell sont automatiquement bloqués par Windows. Voici comment les autoriser.

Restricted : aucun script ne peut être exécuté, seules les cmdlets locales sont autorisées
AllSigned : les scripts peuvent être exécutés mais ils doivent être obligatoirement signés avec un certificat
RemoteSigned : les scripts créés en local n’ont pas besoin de signature
Unrestricted : les scripts n’ont pas besoin d’être signés, qu’ils proviennent du poste local ou d’Internet.

  • Cliquez sur le bouton Démarrer, sur Tous les programmes, sur Accessoires, sur Windows PowerShell.

Cliquez avec le bouton droit de la souris sur Windows PowerShell puis cliquez sur Exécuter "en tant qu'Administrateur".

Dans la fenêtre qui s'ouvre, saisissez l'applet Set-ExecutionPolicy RemoteSigned puis validez par Entrée.

Appuyer sur Enter pour Valider

Appuyez sur [O] pour valider l'exécution des scripts PowerShell signés sur votre ordinateur.

Après avoir validé, entrez la commande "Get-ExecutionPolicy" pour vérifier que les scripts distants seront signés.

Conseil: Lorsque votre PC est sur un annuaire Active Directory, les stratégies d’exécution sont contrôlées via les stratégies de groupe ou GPO. Celles-ci sont toujours situées au-dessus des autorisations des stratrégies locales donc plus efficaces contre les exécutions indésirables. Vérifiez les stratégies définies avec «Get-ExecutionPolicy -list». Si les paramètres sont définis sur RemoteSigned, cela signifie que les scripts locaux et les scripts à distance devront avoir une signature numérique. Si le script lui-même est maintenant simplement défini sur non-restreint ou Unrestricted puis mis à disposition localement, une fenêtre d'avertissement indiquera les risques encourus en cas de mauvaise intention.

Vérifiez les stratégies définies la cmdletGet-ExecutionPolicy et l'argument -list

Exemple de restrictions sur l'utilisateur courant:
PS>Get-ExecutionPolicy -List
Scope ExecutionPolicy
MachinePolicy Undefined
UserPolicy Undefined
Process Undefined
CurrentUser RemoteSigned (utilisateur courant du registre)
LocalMachine Unrestricted (machine locale du registre)
ou RemoteSigned (sur le réseau)

Par défaut, les stratégies d'exécution de PowerShell sont Restricted et Undefined pour les portées "CurrentUser" et "LocalMachine"; cela signifie que les scripts ne s'exécuteront à distance qu'avec un avertissement. Vous pouvez vérifier le paramètre de stratégie d'exécution à l'aide de la commandlet "Get-ExecutionPolicy", comme illustré ci-dessus. Vous pouvez aussi modifier le comportement d'exécution des scripts PowerShell à l'aide de la cmdlet
Set-ExecutionPolicy -scope "Hive"ou "nom de la portée".

Stratégie par défaut "Restricted" et "Undefined"

Comme son nom le suggère "Restricted" restreint toutes les exécutions non signés des scripts. Seuls les scripts locaux peuvent être lancés mais aucun script ne peut s'éxecuter à distance:

Remettre les restrictions par défaut:

Revient à mettre les restriction sur Undefined ou Restricted
Entrez la commande:
PS>set-executionpolicy Default


LoupeCliquez pour agrandir

Ou encore en utilisant l'argument Unrestricted

PS>set-executionpolicy Unrestricted

Message de "Execution Policy Change":
La stratégie d'exécution permet de vous prémunir contre les scripts que vous jugez non fiables. En modifiant la stratégie d'exécution, vous vous exposez aux risques de sécurité décrits dans la rubrique d'aide about_Execution_Policies. Voulez-vous modifier la stratégie d'exécution ? [O] Oui [N] Non [S] Suspendre [?] Aide (la valeur par défaut est « O ») Une fois que vous avez répondu par OUI
Vérifiez les restrictions appliquées à votre compte ou votre machine locale:
CurrentUser ou à votre Machine LocalMachine

Cependant la stratégie d’exécution Undefined remplace par défaut les restrictions d’exécution des scripts ou de chargement des modules. En ce qui concerne les scripts qui n'ont pas de certificat un avertissement apparaît.
PS C:\Scripts> .\ScriptDistant.ps1

Avertissement de sécurité:
N’exécutez que des scripts que vous approuvez. Bien que les scripts en provenance d’Internet puissent être utiles, ce script est susceptible
d’endommager votre ordinateur. Voulez-vous exécuter C:\Scripts\ScriptDistant.ps1 ?
[N] Ne pas exécuter [O] Exécuter une fois [S] Suspendre [?] Aide

Modifiez la stratégie pour une portée spécifique avec -Scope:

Vous pouvez modifier le registre et forcer le comportement des stratégies d'exécution de PowerShell à l'aide de la cmdlet
PS>Set-ExecutionPolicy -Scope "LocalMachine" -ExecutionPolicy "RemoteSigned" -force
PS>Set-ExecutionPolicy -Scope "CurrentUser" -ExecutionPolicy "AllSigned" -force

La stratégie qui s'applique à "LocalMachine" est supérieur à celle de "CurrentUser"

Cela donne le résultat:
PS>C:\Windows\system32> Get-ExecutionPolicy -list

Les stratégies d'exécution sur RemoteSigned pour LocalMachine et AllSigned pour CurrentUser sont à mon sens les mieux adaptées pour un poste personnel Windows relié à internet.Pour un serveur, la convention impose pour l'exécution des scripts à distance que les paramètres viennent des stratégies de sécurité; les scripts lancés à distance doivent s'éxécuter avec une signature numérique et un certificat d'authentification. Le respect des conseils et la maîtrise du processus de signature du code sont essentiels à la protection de l’environnement PowerShell. Appliquez les stratégies d'exécution et maîtrisez le processus de signature du code pour la protection de l’environnement PowerShell !

Vérifier aussi l'existence de votre profil Powershell


LoupeCliquez pour agrandir

Redémarrer ensuite PowerShell puis entrez:
pwd pour savoir ou vous vous situez dans l'arborescence puis:

Verifiez la version installée sur votre système

Name Value
PSVersion => 5.1.14409.1018
PSEdition => Desktop
PSCompatibleVersions => {1.0, 2.0, 3.0, 4.0...}
BuildVersion => 10.0.14409.1018
CLRVersion => 4.0.30319.42000
WSManStackVersion => 3.0
PSRemotingProtocolVersion => 2.3
SerializationVersion => 1.1.0.1

Vérifiez votre PSVersion, BuildVersion ou la version de PowerShell que vous utilisez.

AJOUT DE MODULES TELECHARGES SUR DES SITES DE CONFIANCE OU LOCALEMENT

1 -Commencer par créer un point de restauration avec Powershell
PS C:\>Checkpoint-Computer
cmdlet Checkpoint-Computer at command pipeline position 1
Supply values for the following parameters:
Description: 1

2 -Vous pouvez en fonction de votre OS et de votre version PowerShell utiliser la cmdlet :
PS>Update-help

LoupeCliquez pour agrandir

Vous pouvez aussi tenter de mettre à jour votre version avec la KB3191566-x32ou x64 pour Windows 7 et server 2008 Release 2 par exemple.
Mais il semble que cette méthode lorsqu'elle est utilisée sur Win7 ne soit pas très stable. Auquel cas, désinstallez la Mise à jour KB3191566 !

Si vous possédez Windows 10 et après avoir défini les politiques d'exécution vous pouvez utiliser la commande suivante pour mettre à jour vos modules:

Ce qui lance Powershell en invoquant " -importSystemModules":
"Powershell.exe -NoExit -importSystemModules"
Le chemin étant:
%SystemRoot%\system32\WindowsPowerShell\v1.0\powershell.exe -NoExit -ImportSystemModules

Comme ci-dessous les updates et modules peuvent être installés à l'aide des cmdlets :
Get-help ou Update-Help
Get-help About_Modules
et
PS>Update-Module

Vous serez certainement "invité" à installer des modules comme "NuGet"


LoupeCliquez pour agrandir

Puis de répondre par "Yes" pour mettre à jour votre version de Powershell.

1) Localement trouver l'emplacement de vos modules en saisissant la commande:
dir env:psmodulepath
Ou encore avec une redirection:

2) Copier les fichiers appartenant à ce module dans un répertoire identifié, et mettez le dans le sous-répertoire créé avec le nom de la commande par exemple.

3) Importez le module :
PS>C:\users\mon-nom\Mes_modules> import-module "Nom du module"

4) Pour le tester ensuite, il faut saisir les commandes appartenant à ce module.
Vous pouvez les listez ainsi : 
get-module Nom.du.module
Ou récupérer les noms des modules dans le pipeline avec un fichier de "résultat"

permet de savoir rapidement quels sont les services actifs ou inactifs en utilisant le module Windows PowerShell et son interface sous MS-DOS. Entrez cmd en tant qu'Administrateur puis taper powershell.

Powershell liste des svc

Les Opérateurs de résultat : ">"
Get-service >filesvc.txt
Get-Service >C:\services.txt
Get-ChildItem >>files.txt
Get-ChildItem 2 >errors.txt

Lister le liste de services actifs avec la commande SC.exe
cmd /k net start >services.log à partir de l'invite avec les droits d'administrateur entrez; sc query >C:\servicesactifs.txt
C:\Windows\sc query (liste les services) (>= redirection vers) C:\servicesactifs.log

Ouvrir le fichier sur C:\servicesactifs.txt avec un éditeur de texte

Service_Name: AeLookupSvc
Display_Name: Expérience d'application
Type: 20 WIN32_SHARE_PROCESS
State: 4 RUNNING
(STOPPABLE, NOT_PAUSABLE, IGNORES_SHUTDOWN)
WIN32_EXIT_CODE : 0 (0x0)
SERVICE_EXIT_CODE : 0 (0x0)
CHECKPOINT : 0x0
WAIT_HINT : 0x0

Service_Name:ASDiskUnlocker
Display_Name: ASDiskUnlocker
Type: 110 WIN32_OWN_PROCESS (interactive)
State: 4 RUNNING
(STOPPABLE, NOT_PAUSABLE, IGNORES_SHUTDOWN)
WIN32_EXIT_CODE : 0 (0x0)
SERVICE_EXIT_CODE : 0 (0x0)
CHECKPOINT : 0x0
WAIT_HINT : 0x0
Etc

Avec la Console WMI
wmic service get state,displayname

liste des services avec WMI

Entrez dans une invite de commande en mode Administrateur:
wmic:root\cli>/?

Tutoriel WMICTutoriel WMIC : Commandes utiles

 

Avec PowerShell
On peut aussi savoir quels sont les services actifs ou inactifs en utilisant la cmdlet "En tant qu'Administrateur":
PS>Get-Service

Services démarrés ou arrêtés
Start, stop, restart, resume, etc.

Lister les Services "Running ou Stopped" à savoir démarrés ou arrêtés avec la cmdlet "
Get-service" et Pipeline "|" puis "Out-File" comme flux de réussite:

Services Stop:
PS>Get-Service | Where-Object { $_.status -eq "stopped" } | Out-File C:\svcstop.txt

Services Start:
PS>Get-Service | Where-Object { $_.status -eq "running" } | Out-File C:\svcstart.txt

Rédémarrer un service:
PS>restart-Service "Nom du service" -force
Vous pouvez utiliser:
PS>Start-service "Nom du service" -force
ou
PS>Stop-service "Nom du service" -force

Opérateurs de sortie, de résultat ou de redirection

Windows PowerShell fournit plusieurs applets de commande qui vous permettent de contrôler directement la sortie de données. Ces applets de commande partagent deux caractéristiques importantes. Tout d’abord, elles transforment généralement les données en une forme de texte. Elles opèrent de la sorte, car elles envoient les données à des composants système qui requièrent une entrée de texte. Cela signifie qu’elles doivent représenter les objets sous forme de texte. Le texte est mis en forme tel qu’il apparaît dans la fenêtre de la console Windows PowerShell.

operateurs de redirection

Des applets utilisent la commande "Out, Out-write, Out-Host, Out-File", car elles envoient des informations de Windows PowerShell vers un autre emplacement. L’applet de commande Out-Host ne fait pas exception : l’affichage de la fenêtre hôte se trouve en dehors de Windows PowerShell. Ceci est important car, lorsque des données sont envoyées hors de Windows PowerShell, elles sont réellement supprimées. Vous pouvez le constater si vous tentez de créer un pipeline qui pagine les données vers la fenêtre hôte, puis tentez d’appliquer une mise en forme de liste, comme illustré ci-dessous :

Sortie de la cmdlet Get-process avec le pipeline et Out-Host :

Handles NPM(K) PM(K) WS(K) VM(M) CPU(s) Id ProcessName
------- ------ ----- ----- ----- ------ -- -----------------------------
101 5 1076 3316 32 0.05 2888 alg
...
618 18 39348 51108 143 211.20 740 explorer
257 8 9752 16828 79 3.02 2560 explorer

L’applet de commande Out-Host envoyant les données directement à la console, la commande Format-List ne reçoit jamais rien à mettre en forme.
La façon correcte de structurer cette commande consiste à placer l’applet de commande Out-Host à la fin du pipeline, comme illustré ci-dessous. Ainsi, les données du processus sont mises en forme de liste avant d’être paginées et affichées.

PS> Get-Process | Format-List | Out-Host -Paging

Id : 2888
Handles : 101
CPU : 0.046875
Name : alg

Id : 740
Handles : 612
CPU : 211.703125
Name : explorer

Id : 2560
Handles : 257
CPU : 3.015625
Name : explorer

Cela s’applique à toutes les applets de commande Out . Une applet de commande Out-* doit toujours apparaître à la fin du pipeline.

Les opérateurs de redirection redirigent uniquement les flux vers des fichiers ou des flux vers des flux.
L'opérateur de canalisation ou pipeline achemine un objet dans le pipeline vers une applet de commande puis vers une sortie.

Redirection de flux; sortie, résultat ou capture de fichier

Redirection dans filesvc.txt:
PS>Get-service >filesvc.txt

Out-File: Pipeline pour flux de sortie

Get-Process | Out-File -Verbose D:\infolog.txt
VERBOSE: après avoir redirigé l'operation vers la cible "Out-File" et D:\infolog.txt (Verbose correspond à "bavard" ou "verbeux").

Get-ChildItem | Out-File unicodeFile.txt
Get-Content filename.cs | Out-File -Encoding ASCII file.txt
Get-ChildItem | Out-File-Width 120 unicodeFile.cs
PS>Get-Service | Out-File C:\Services.txt


Contenu du fichier C:\Services.txt ci-dessus

Pour rediriger le flux de sortie dans le CLI en ajoutant un fichier, utilisez le paramètre -Append (Ajouter) avec le pipeline puis Out-File:
Le fichier files.txt sera ajouté à la liste des fichiers listés par la cmdlet Get-ChildItem
PS>Get-ChildItem | Out-File -Append files.txt

Directory: C:\Users\Administrateur
Mode LastWriteTime Length Name
-----------------------------------------
d----- 10/03/2020 03:47 .ebookreader
d----- 14/01/2020 08:25 .swt
d----- 14/03/2020 04:50 .VirtualBox
d-r--- 27/03/2020 14:31 Desktop
d----- 19/03/2020 19:04 Documents
d-r--- 28/03/2020 03:23 Downloads
d-r--- 04/01/2020 14:01 Favorites
d-r--- 23/03/2020 07:50 Links
d-r--- 22/01/2020 02:21 Music
d----- 17/12/2019 18:50 OpenVPN
d-r--- 27/03/2020 13:46 Pictures
d-r--- 04/01/2020 14:01 Saved Games
d-r--- 04/01/2020 14:01 Searches
d----- 17/12/2019 22:14 UrbanVPN
d-r--- 29/02/2020 01:23 Videos
d----- 14/03/2020 04:49 VirtualBox
-a---- 28/03/2020 03:43 0 files.txt

Sortie d'écriture dans la console

La cmd envoie des objets dans le pipeline principal, également appelé "flux de sortie" ou "pipeline de réussite". Pour envoyer des objets d'erreur dans le pipeline d'erreurs, utilisez Write- Error.

1- Sortie pour la prochaine Cmdlet du pipeline

2- Sortie avant Write-Output ci celui ci est la dernière commande du pipeline
Write-Output 'Hello world'

3- Write-Output CmdLet manquante, mais reste consideré comme 'Write-Output'
'Hello world'

1.- La cmdlet Write-Output envoie l'objet spécifié dans le pipeline vers la commande suivante.
2.- Si la commande est la dernière commande du pipeline, l'objet est affiché dans la console.
3.- L'interpréteur PowerShell considère cela comme une écriture en sortie implicite.
Étant donné que le comportement par défaut de Write-Output consiste à afficher les objets à la fin d'un pipeline, il n'est généralement pas nécessaire d'utiliser la cmdlet.

Exemple,
class="codecolink"> Get-Process | Write-Output
est équivalent à Get-Process

Les messages peuvent être écrits avec;
Write-Verbose "Detailed Message"
Write-Information "Information Message"

Utilisation du pipeline permet aussi de canaliser la sortie d'une applet de commande dans une boucle foreach:
Copie d'un répertoire vers une destination.

Write-Output génère une Sortie d'écriture. Cette sortie peut aller à la commande suivante après le pipeline ou aller à la console pour afficher le résultat.
La cmdlet envoie des objets dans le pipeline appelée aussi "pipeline de sortie ou de réussite".

Exemple avec write-output pour la cmdlet Get-Member:
PS> Write-Output "test output" | Get-Member

Article de Microsoft sur l'exécution des scripts PowerShell
À propos des stratégies d'exécution
Lire l'article sur la sécurité de PowerShell
Getting Start with PowerShell

Exécuter Powershell sur un PC distant

Afin de maintenir, déployer, monitorer des machines sur parcs avec AD vous devez avant tout télécharger le module "WinRM" pour les fonctionnalités d'arrière-plan.

PowerShell Remoting vous permet d'exécuter des commandes PowerShell ou d'accéder à des sessions PowerShell complètes sur des systèmes Windows distants. Il est similaire à SSH pour accéder aux terminaux distants sur d'autres systèmes d'exploitation. PowerShell est verrouillé par défaut, vous devrez donc activer PowerShell Remoting avant de l'utiliser. Ce processus de configuration est un peu plus complexe si vous utilisez un groupe de travail au lieu d'un domaine, par exemple sur un réseau domestique.

Activer-désactiver PSRemoting sur le PC auquel vous souhaitez accéder à distance

Votre première étape consiste à activer PowerShell Remoting sur le PC auquel vous souhaitez établir des connexions à distance. Sur ce PC, vous devrez ouvrir PowerShell avec des privilèges administratifs. Dans Windows 10, appuyez sur Windows + X, puis choisissez PowerShell (Admin) dans le menu Power User.
Sous Windows, appuyez sur Démarrer, puis tapez «powershell». Cliquez avec le bouton droit sur le résultat et choisissez «Exécuter en tant qu'administrateur».

Dans la fenêtre PowerShell, tapez l'applet de commande suivante (nom de PowerShell pour une commande), puis appuyez sur Entrée:

Enable-PSRemoting -Force

Cette commande démarre le service WinRM, le configure pour qu'il démarre automatiquement avec votre système et crée une règle de pare-feu qui autorise les connexions entrantes. 
Le  "-Force" indique à PowerShell d'effectuer l'action sans vous inviter à chaque étape.

Vous pouvez ainsi désactiver PSRemoting si vous n'en avez pas l'utilité, ou encore par mesure de sécurité.

 

Si vos PC font partie d'un domaine, c'est toute la configuration que vous devez faire. Vous pouvez passer à l'étape suivante pour tester votre connexion. Si vos ordinateurs font partie d'un groupe de travail - qu'ils sont probablement sur un réseau local ou domestique d'une petite structure - vous avez un peu plus de travail de configuration à faire.

Remarque:

votre réussite dans la configuration de l'accès à distance dans un environnement de domaine dépend entièrement de la configuration de votre réseau. La communication à distance peut être désactivée, ou activée, automatiquement par une stratégie de groupe configurée par un administrateur. Vous pourriez également ne pas avoir les autorisations dont vous avez besoin pour exécuter PowerShell en tant qu'administrateur. Comme toujours, consultez vos administrateurs avant d'essayer quelque chose comme ça. Ils pourraient avoir de bonnes raisons de ne pas autoriser la pratique, ou ils pourraient être disposés à l'installer pour vous.

Configurer votre groupe de travail

Si vos ordinateurs ne sont pas sur un domaine, vous devez effectuer quelques étapes supplémentaires pour configurer les choses. Vous devriez déjà avoir activé Remoting sur le PC auquel vous souhaitez vous connecter, comme nous l'avons décrit dans la section précédente.

Quelle est la différence entre les réseaux privés et publics sous Windows ?

Remarque: Pour que PowerShell Remoting fonctionne dans un environnement de groupe de travail, vous devez configurer votre réseau en tant que réseau privé et non public. 
Pour en savoir plus sur la différence entre réseau privé, domestique ou public.

Ensuite, vous devez configurer le paramètre TrustedHosts sur le PC auquel vous souhaitez vous connecter  et   le PC (ou les PC) à partir duquel vous souhaitez  vous connecter, afin que les ordinateurs se fassent mutuellement confiance. Vous pouvez le faire de deux manières. Si vous êtes sur un réseau domestique où vous souhaitez continuer et faire confiance à n'importe quel PC pour vous connecter à distance, vous pouvez taper l'applet de commande suivante dans PowerShell (encore une fois, vous devrez l'exécuter en tant qu'administrateur).

Set-Item wsman: \ localhost \ client \ trustedhosts *

L'astérisque est un symbole générique pour tous les PC. Si, à la place, vous souhaitez restreindre les ordinateurs pouvant se connecter, vous pouvez remplacer l'astérisque par une liste d'adresses IP ou de noms d'ordinateurs séparés par des virgules pour les PC approuvés.
Après avoir exécuté cette commande, vous devrez redémarrer le service WinRM pour que vos nouveaux paramètres prennent effet. Tapez l'applet de commande suivante, puis appuyez sur Entrer.

Service de redémarrage WinRM

Et rappelez-vous, vous devrez exécuter ces deux applets de commande sur le PC auquel vous souhaitez vous connecter, ainsi que sur tous les PC à partir desquels vous souhaitez vous connecter.

Testez la connexion

Maintenant que vos PC sont configurés pour PowerShell Remoting, il est temps de tester la connexion. Sur le PC à partir duquel vous souhaitez accéder au système distant, saisissez l'applet de commande suivante dans PowerShell (en remplaçant «ORDINATEUR» par le nom ou l'adresse IP du PC distant), puis appuyez sur Entrée:

ORDINATEUR Test-WsMan

Cette commande simple teste si le service WinRM s'exécute sur le PC distant. S'il se termine avec succès, vous verrez des informations sur le service WinRM de l'ordinateur distant dans la fenêtre, ce qui signifie que WinRM est activé et que votre PC peut communiquer. Si la commande échoue, vous verrez un message d'erreur à la place.

Exécuter une seule commande à distance

Pour exécuter une commande sur le système distant, utilisez l'  Invoke-Command applet de commande à l'aide de la syntaxe suivante:

Invoke-Command -ComputerName COMPUTER -ScriptBlock {COMMAND} -credential USERNAME

«ORDINATEUR» représente le nom ou l'adresse IP du PC distant. «COMMAND» est la commande que vous souhaitez exécuter. "USERNAME" est le nom d'utilisateur avec lequel vous souhaitez exécuter la commande sur l'ordinateur distant. Vous serez invité à entrer un mot de passe pour le nom d'utilisateur.

Voici un exemple. Je souhaite afficher le contenu du répertoire C: \ sur un ordinateur distant avec l'adresse IP 10.0.0.22. Je veux utiliser le nom d'utilisateur "wjgle", donc j'utiliserais la commande suivante:

Invoke-Command -ComputerName 10.0.0.22 -ScriptBlock {Get-ChildItem C: \} -credential wjgle

Démarrer une session à distance

Si vous souhaitez exécuter plusieurs applets de commande sur le PC distant, au lieu de taper à plusieurs reprises l'applet de commande Invoke-Command et l'adresse IP distante, vous pouvez plutôt démarrer une session distante. Tapez simplement l'applet de commande suivante, puis appuyez sur Entrée:

Enter-PSSession -ComputerName COMPUTER -Credential USER

Encore une fois, remplacez «ORDINATEUR» par le nom ou l'adresse IP du PC distant et remplacez «UTILISATEUR» par le nom du compte d'utilisateur que vous souhaitez invoquer.

Votre invite change pour indiquer l'ordinateur distant auquel vous êtes connecté et vous pouvez exécuter n'importe quel nombre d'applets de commande PowerShell directement sur le système distant.

Fonctionnalités de PowerShell



scripts PowerShell pour vérifier vos mises à jour Lire sur le site à propos des hotfixes et PowerShell 5.1

Administration et PowerShell PowerShell de A à Z et l'administration

Gérer le niveau de confidentialité sur Windows 10 Lire : Les commandes réseau en Powershell

le tutoriel PowerShell Lire : Tutoriel Powershell

le tutoriel PowerShell Lire: L'interface en ligne de commande PowerShell (s'applique à tous les systèmes Windows)

Correctifs installés sur un PC sous Windows

Tout d'abord, créer un répertoire "C:\temp" puis utilisez le script ci-dessous pour lister les KB ou correctifs de la bases de connaissances installées sur votre machine. Passez par l'invite de cmd. "Démarrer" puis "Exécuter" en tant que Administrateur puis créer la redirection vers le dossier C:\temp de manière à récupérer le contenu du fichier C:\temp\UpdateList.txtcontenant la liste des correctifs ou KB installées sur votre poste.

+ Simplement à partir des versions > à XP vous pouvez utiliser la commande systeminfo :
C:\>systeminfo >C:\infosys.log
Chargement des informations de correction...

Il vous restera à ouvrir le fichier log "infosys.log" avec un éditer de texte.

Pour récupérer les détails copiez le script WMI ci-dessous dans l'éditeur notepad:
wmic qfe GET description,FixComments,hotfixid,installedby,installedon,servicepackineffect >C:\UpdateList.txt

lister les maj

Le résultat lorsque vous ouvrez le fichier UpdateList.txt apparaît comme ci-dessous ;

listes des correctifs
LoupeCliquez pour agrandir

Avec PowerShell, la commande "verbe-noun" Get-HotFix donne le même résultat !

Les quotes = "." permettent de combler les espaces dans les "chemins" ou path
(Cela est une vielle convention chez Microsoft)...
Exemple: log infos.txt devra pour être pris en compte dans votre script devra être entre quotes "log infos.txt"

Si vous oubliez les Quotes comme ci-dessous un message d'erreur apparaît

Fichier de sortie dont le nom est entre "---" quotes vient du fait qu'il contient un espace => Log infos.txt.
Get-HotFix | Out-File "D:\Log infos.txt"

Le fichier "log infos.txt" contient les HotFix installés, listées dans le fichier de sortie ci-dessus.

Il est aussi possible de d'utiliser la commande computerinfo avec un commutateur de résultat
Get-computerinfo >D:\infospc.txt

Le gestionnaire d'identification

Les gestionnaire d'idetification permet d'enregistrer les username/password pour votre poste, un site ou l'accès à un partage réseau

Les informations sont stockés ici en fonction de l'OS, mais encryptées:

Pour les comptes systèmes:

SECURITE: SE PROTEGER DES MALWARES ET RANSOMWARE SOUS WIN10

Microsoft a intégré une protection qui empêche toute application suspecte de modifier des fichiers protégés. Voici comme activer et paramétrer cette nouvelle fonctionnalité.

Win 10 Fall Creators et Ransomwares

Pour bénéficier de cette fonctionnalité, il faudra fouiller dans les réglages de Windows. Rendez-vous dans Paramètres > Mise à jour et sécurité > Windows Defender» et ouvrez le "Centre de sécurité Windows Defender". Ensuite, allez dans la rubrique "Protection contre les virus et menaces" et cliquez sur "Paramètres de protection contre les virus et menaces". Lire la suite sur 01Net

Autres menaces sur Internet

Il faut savoir que près de 20.000.000 d'utilisateurs de Chrome sont Victimes de Faux Ad Blockers !

Voilà l'action d'un faux bloqueur de publicité
1. Il cache du code malveillant dans une bibliothèque javascript bien connue (JQuery).
2. Ce code renvoie à leur serveur des informations sur certains des sites Web que vous visitez.
3. Il reçoit les commandes du serveur distant du centre de commande. Afin d'éviter la détection, ces commandes sont cachées dans une image d'apparence inoffensive.
4. Ces commandes sont des scripts qui sont ensuite exécutés dans le contexte privilégié ("page d'arrière-plan" de l'extension) et peuvent modifier le comportement de votre navigateur de n'importe quelle manière.
Fondamentalement, il s'agit d'un botnet composé de navigateurs infectés par les fausses extensions adblock. Le navigateur fait tout ce que le propriétaire du serveur du centre de commande lui ordonne de faire.

Liste des principales menaces en 2019-20

AdRemover for Google Chrome™ (10M+ users)
uBlock Plus (8M+ users)
Adblock Pro (2M+ users)
HD for YouTube™ (400K+ users)
Webutation (30K+ users)

Ces extensions ont été signalés à Google. Espérons qu'ils seront bientôt supprimés.
Lire sur le site de AdGuard en anglais

Le Phishing est aussi très répandu : soyez prudent lorsqu'il s’agit de télécharger ou de publier des données personnelles, particulièrement lorsqu'il ne s'agit pas de vous... Répondre à une offre de téléchargement gratuite, gagner un cadeau, succomber à des offres à des prix très attractifs, peut comporter certains risques... En aucun cas il ne doit vous être réclamé de compensation financière pour participer à un tirage au sort ou de renseigner un formulaire de données personelles pour mettre vos données bancaires à jour par exemple.

Phishing - Forme d'escroquerie très prisée ces dernières années qui consiste à prendre l'identité d'une entreprise connue et reconnue sur un e-mail pour inciter les destinataires à changer ou mettre à jour leurs coordonnées bancaires ou autres via des pages imitant celles de l'entreprise dont l'image a été utilisée pour l'escroquerie.

Utilisez un module contre le Phishing et le Spam voir un gestionnaire de Cookies pour votre messagerie et contre le tracking pour votre Navigateur (Il en existe pour chacun d'eux; IExplorer, Chrome, Firefox, Opera, Safari, etc.) Dans les réglages du navigateur vous trouverez les paramètres pour éviter de se faire "tracker".

CONSEILS POUR LA MESSAGERIE

Gardez bien les mails indésirables dans le dossier "indésirables ou Spam" pour renseigner la base de données de noms 'DNS'. En cas de doute, n'oubliez pas de vérifiez l'expéditeur ainsi que l'en-tête du courrier.

Le cas échéant vous pouvez toujours vérifier l'expéditeur du courrier sous Gmail en ouvrant "Affichez l'original" !

vérifiez l'origine d'un mail

Evitez les clés USB pour tranférer vos données personnelles d'une machine à une autre dans un environnement extérieur. Il existe dans Windows des paramètres qui empêchent d'utiliser des clés USB en dehors des environnements validés. Cela est possible grâce à la stratégie de sécurité : Démarrer: C:\Windows\system32\secpol.msc.

Demandez cependant à un technicien qui connait bien les stratégies de changer les paramètres. Cela est indispensable car bien que la stratégie de sécurité locale puisse restreindre beaucoup de paramètres il est préférable d'appliquer des stratégies de sécurité sur des groupes via Gpedit.msc et un réseau Active Directory. Si vous vous lancez dans le paramétrage des stratégies de sécurité cela pourrait se solder par des blocages à vos depends; renseignez vous et vérifier que votre antivirus scan les volumes "montés" (mount) via l'USB comme c'est le cas pour les disques durs externes ou les clés USB insérées sur votre PC ou transférer les données par le Cloud.

Utilisez un mot de passe pour chaque service ou portail avec un changement régulier (cela dépendra du nombre de tentatives de connexions non désirables que vous aurez auditées). Faites en sorte d'utiliser un mot de passe pour chaque service comme Facebook, Google, Outlook, Amazon etc… Plus le mot de passe est long plus il est difficile à craquer. Lorsqu'un hacker va cracker un mot de passe, une des premières choses qu’il va faire c’est de tenter de savoir s'il existe une correspondance entre ce mot de passe et d’autres sites internet ou votre messagerie. Evitez donc "d'agréger" vos identifiants. Utilisez un nettoyeur de traces, pour éffacer les fichiers temporaires, cookies et traces laissés sur Internet comme "CCleaner" au plus puissant "DiskMax" tous les deux gratuits. On l’a vu avec la fuite de LinkedIn, les mots de passe mis en vente datent de 2012, soit près de 4 ans. Il existe des applications avec votre suite Antivirus pare-feu ou bien pour Android qui permettent gérer vos mots de passe. Il en est de même sur Microsoft, Linux ou MacOS. Lorsque vous êtes connectés sur des portails (FAI, Moteurs de recherche, sites avec authentification forte, espaces collaboratifs). Déconnectez-vous toujours lorsque vous quittez le portail. Cela vous permettra de désactiver le cookie de connexion et de moins laisser de traces.

Lire sur les bundleware

sur le site d'Eset le glossaire des "arnaques potentielles".

 

Références

PowerShell de A à Z et l'administration

Administration Unix

Linux administration du réseau

Lire : Support Apache (D.Szalkowski)

Lire : Tutoriel WMIC de Malekal ou Gestion WMI

Autres sites sources d'informations

https://codes-sources.commentcamarche.net

http://www.systanddeploy.com

https://www.softpedia.com

zataz.com

developpez.com

docs.microsoft.com/fr-fr/sysinternals

blogs.developpeur.org/fabrice69

support.microsoft.com

dyn.com/dns

www.hiren.info

www.it-connect.fr

www.generation-nt.com

www.nirsoft.net

macbidouille.com/

www.manageengine.com/products/service-desk

BMC Helix ITSM - BMC Français

 

 

1foplus-2021-22

Robotique et domotique

L'utilisation de ports série a décliné avec le développement de l'USB, le HDMI et d'autres solutions haut débit, mais elle est toujours d'actualité dans plusieurs domaines, notamment sur les systèmes industriels automatisés pour connecter des équipements de laboratoire et d'autres instruments scientifiques tels que des ordinateurs et réseaux pour systèmes industriels automatisés.

L'utilisation de la domotique nécessite la combinaison de plusieurs technologies:

Des applications et protocoles pour relier en toute sécurité vos périphériques: audiovisuels, composants électroniques, périphériques tels que home cinéma, système audio, vidéo, caméras, digicode, portails…

Le pilotage informatique à distance avec automatisation des tâches avec un mélange, filaire, WiFi et hertzien;
- Protocoles EoIP, VoIP, WoE, WiFi, CPL, hertzien (Zigbee, Z-Waves),
- Gestion des alertes,
- Supervision

Soit vous déléguez votre installation à un prestataire qui utilisera une solution d'un éditeur (et cela même si l'éditeur utilise un code Open Source dans son code). Il vous facturera, d'une part l'installation et d'autre part, une sauvegarde avec les paramètres de votre routeur, de vos commutateurs et de votre contrôleur WiFi ainsi que de votre environnement à l'aide d'une solution dédiée. Mais d'autres options sont envisagables.

Soit vous utilisez une formule libre comme Jeedom et vous aurez à payer le prix du support. Vous devrez créer un serveur multimédia pour piloter vos périphériqes via l'interface de contrôle de Jeedom et d'une sauvegarde de votre environnement (de préférence virtuelle). Vous pourrez sauvegarder votre installation sur un hyperviseur de type VMware ESXi avec plusieurs Virtual Machines.

Soit,  vous apprenez les basiques des réseaux et de la domotique pour installer votre propre solution (de préférence sur l'hyperviseur de votre choix, avec une ou plusieurs Virtual Machine pour simuler et intéragir ou superviser votre réseau) Il vous sera alors possible de sauvegarder localement ou sur un Cloud votre environnement virtuel. Avec cette mise en oeuvre, il est préférable d'avoir un accès de secours via un pare-feu (filtrages Mac, IP et applicatifs) avec un VPN sur SD-WAN. Si votre serveur qui contrôle votre installation tombe vous pourrez basculer sur votre autre FAI pour bénéficier d'un équilibrage grace au Cloud et restaurer votre environnement. Etre prévoyant vaut mieux que de rester dehors sans cléfs ou bip pour ouvrir votre portail électrique... D'ou l'intérêt d'un lien de secours sur le cloud avec une solution Cloud pour accéder à votre serveur web et piloter vos périphériques.

Les scénarios

Création de scénarios (scénarii) pour lancer les alertes;
fractures de sérrures, des volets, du portail des fenêtres.
Gestion des radiateurs et de la température du chauffage,
Gestion des écrans TV, des caméras,
Gestion des alarmes, détecteur de mouvements, de fumées, lumières.
Autant de scénariis qu'il est possible d'en créer, pour bien faire.
Utilisation de l'interface web accéssible de périphériques tels que, console, smartphone, tablette avec connexions sécurisées.

Voir l'incendie du Centre de données d'OVH


LoupeCliquez pour agrandir

C’est pourquoi OVH a choisi de dépenser sans compter dans le renforcement de la sécurité de ses datacenters.
Lire: Ce qu'il faut savoir pour éviter "à tout prix" un nouvel incendie...

Transporter les "données" de votre habitat...que choisir entre Ethernet RJ45, le WiFi, le X10, CPL (courant porteur) protocoles propriétaires ou open source ou un mélange de différentes technologies ?

Avec Ethernet vous pouvez utiliser plusieurs type de connexion; le Wireless Over Ethernet WoE, le Powerline over Ethernet PoE.

Le X10 est un protocole Hertzien assez restreint car il n'accèpte qu'une commande à la fois et n'est pas toujours compatible avec du matériel propriétaire. Il permet aux produits compatibles de dialoguer ensemble via l'installation électrique de votre habitation. Le X10 représentre une avancée pour ce type d'installation qui nécessite parfois des travaux encombrants de câblage...

Le CPL se présente avec un boitier muni d'une ou de 2 prises réseau RJ45, connecté à votre prise électrique pour éviter le câblage puisque relié à votre installation életrique. Vous pouvez facilement le relier à un point d'accès WiFI (il permet de raccorder la plupart des points d'accès Wifi entre eux). Plusieurs boitiers forment un réseau qui se synchronisent les uns avec les autres.

Pour tenter de simplifier:
Des câbles Ethernet lorsqu'ils sont reliés à un routeur puis à un Switch permettront d'avoir de meilleurs performances et plus de fonctionnalités de sécurité. C'est la cas avec le Wifi et les principales connexions utilisées. Le PoE ou Powerline over Ethernet, WoE ou Wireless over Ethernet permettent à la domotique d'intègrer plusieurs types de transport de données. Comme bien souvent, les câblages sont encombrants mais incontournables car ils permettent d'assigner avec le DHCP dynamiquement une IP à chaque appareil, voir même de les relier à un sous réseau et à un ou plusieurs Vlan. La solution la plus fiable mais couteuse à mettre en place; Ethernet en câblage "universel", (Voix, Données, Images) vous permettra de raccorder tous types d'appareils à une prise RJ45 (cat 6-7 Fast ou Giga Ethernet en fonction du débit de votre FAI). Cette technologie assure, disponibilitée et fiabilitée dans le transport de données et bénéficie d'un débit constant. Cependant l'installation des câbles nécessite un panneau de brassage et des compétences. avec un commutateur relié au panneau vous pourrez utiliser le WiFi de manière plus constante en utilisant le WiFi de votre Box pour créer un seul Point d'accès qui sera le seul à émettre (le Wifi de la Box sera désactivé pour augmenter les émissions du point d'accès Netgear, TPLink ou autre. Le réseau de prises relié à un commutateur, que l'on place à part dans un placard "technique" de préférence caché et sécurisé, relié au panneau de brassage, vous permettra de béneficier d'un débit constant que cela soit en Ethernet ou avec du Powerless over Ethernet (PoE). L'Ethernet universel et ses prises RJ45 permet de relier les ordinateurs entre eux, la voix et les images, rediriger les flux TV avec un décodeur supplémentaire... L'intérêt principale du RJ45 réside dans sa régularité et son débit plus constant que le WiFi même en 5GHz. Le câblage Ethernet reste "l'incontournable" car il permet d'assigner aux prériphériques plusieurs technologies de transports de données.

Les catégories et débits des câbles Ethernet

Pour revenir aux réseaux et technologies de transports de données pour les images, sons, données utilisent plusieurs medium; Ethernet (catégories) Wireless, X10 (Norme du CPL en Europe) ou Hetziens (Zigbee, Z-waves) avec la téléphonie mobile afin de relier à distance et en temps réel une interface web sécurisée de gestion et de supervision de vos équipements.

Z-Wave a moins de problèmes de congestion

Aux États-Unis, Z-Wave fonctionne sur une fréquence radio moins utilisée – 908,42 MHz – tandis que ZigBee fonctionne à 2,4 GHz et peut concurrencer le Wi-Fi. La congestion peut rapidement s’accumuler entre l’hôte d’appareils ZigBee dont vous pourriez avoir besoin pour maintenir un réseau maillé fiable, votre Wi-Fi, le Wi-Fi de votre voisin et tout autre appareil fonctionnant à la même fréquence. Z-Wave ne fait pas face à la même concurrence en matière de ressources, il établit donc potentiellement des connexions plus solides et plus fiables, en fonction de votre environnement.

Gérer les températures d'une maison, d'un entrepot, d'un centre de données avec accès au thermostat à distance, surveillance des locaux avec la video et une interface unique pour plusieurs sites, automatiser les composants reliés à votre réseau, etc. La gestion d'une installation domotique comprend un accès à distance via une interface de gestion (propriétaire, libre et Open Source) un réseau utilisant Ethernet, le WiFI, le Bluetooth, les microwaves, ondes radio ou hertziennes, etc. Pour la détection d'intrusion différents scénarios sont programmables. Leurs fonctions étant de refléter au mieux vos habitudes de sorte que tous les évènements imprévus soient analysés afin de générer une alerte. Les tâches répétitives sont aussi activées automatiquement, une commande est lancée, le programmateur analyse la commande et active les scénarios de vie que vous aurez prédéfinis.

Points communs des technologies

- Permettre de sécuriser vos locaux d'habitation, commerciaux ou entrêpots,
- Assurer de meilleurs rendements de votre consommation d'énergie,
- Automatiser des tâches (régler la température, fermer les stores, portes etc.)
- Bénéficier d'un retour d'informations immédiat et visualiser les évènements.


Pare-feu 6 ports PoE 10-100Mb/s-1Gb/s, 1 port console et 2 ports USB. Ajout possible d'une carte supplémentaire

Exemple de switch Cisco 100Mbps 1/10Gbps

Le WiFi, est en pleine évolution et permet de coupler ces différentes technologies. Il est en effet possible d'utiliser un câblage RJ45 universel et de relier une console ou un Mediacenter à une borne WiFi de manière à diffuser le signal sur un canal sécurisé. Tous les périphériques munis d'un récépteur Wifi reçevrons le signal. Cela vous permettra d'accéder à toutes les pièces de la maison. Cette technologie est modulable, sécurisée mais elle souffrait avant de quelques défauts. La bande passante était divisée par le nombre de périphériques connectés et en cours d'utilisation au point d'accès. Cet inconvéniant avec les nouveaux Points d'Accès WiFi et leur fréquences de 2.4 à 5 GHz disparaît. L'interêt de cette technologie est de coupler Ethernet avec les Points d'Accès (PoE) de manière à avoir bénéficier d'une plus grande couverture Wifi.

Il faudra respecter la sécurité et créer des sous réseau par composants ou isoler les ports du commutateur utilisé.

Isolation de port:
Lorsque vous activez le mode d'extension, ou accéder à l'interface d'adminstration le port PoE est isolé des autres, ceci est utilisé si vous souhaitez exécuter plusieurs périphériques / réseaux sur la même infrastructure physique ou équipement mais souhaitez les garder séparés, afin d'améliore la sécurité, l'efficacité et la gestion.

Exemple :
1 sous réseau pour les caméras, 1 sous réseau pour les automatismes d'intérieur, 1 sous réseau pour les PC connectés, 1 autre pour l'interface d'administration ou la console de pilotage de votre application domotique. Si vous voulez allez plus loin dans la sécurité vous pourrez créer des VLAN par composants en ségmentant de façon perméable le réseau au lieu de créer des sous réseau reliés entre eux. Si votre routeur est en 192.168.1.1 avec le NAT les caméras sera compris entre 10.10.0.10 et 10.10.0.20 pour 10 caméras. Pareil pour les automatismes qui seront en 10.10.2.1 à 10.10.2.20 soit 19 composants automatisés; 8 volets, 6 portes avec sérrures, 5 radiateurs et 2 portails (1 pour l'entrée et 1 autre pour le garage), le système d'alarme qui intégrera les adresses de ces composants de manière à ce qu'en cas de fracture de volet, portes, portails, plusieurs scénario soient mis en place sur la console de pilotage via une base de données pour déclencher l'alarme, soit localement, soit chez un prestataire. Le tout devra par ailleurs intégrer des scénarios de coupure de câble, de coupure du réseau, voir de l'électricité afin de lancer une tâche immédiate d'alerte.

Pour préciser si l'adresse IP de votre routeur est 192.168.1.1, l'adresse IP de votre pare-feu ou commutateur sera comprise entre 192.168.1.2 et 192.168.1.254. Avec un masque de sous-réseau 255.255.255.0, la passerelle par défaut doit être 192.168.1.1. Si vous devez utiliser une un nouveau composant du type commutateur, Bridge ou Pont WiFi celui-çi devra avoir comme IP 192.168.254.255; donc pour se connecter via le port USB ou série (bien qu'ils n'en exsitent pratiquement plus que sur les vieux portables) et entrez https://192.168.254.255 vous obtiendrez un boite de dialogue avec le Compte et le Password. Ceux-çi seront renseignés sur la boite, à l'arrière de votre commutateur-pare-feu, ensuite changez le mot de passe et sécuriser le par un chiffrement, lorsque le péripherique le permet.

Exemple d'infrastructure de surveillance sur réseau IP

Infrastrucutre IP

Exemple de surveillance de 2 locaux distants

Remote

Utilisation de commutateurs PoE pour relier vos locaux entre eux avec Point d'accès ou bridge en WoE

Surveillance à distance de plusieurs locaux via EoP et la techologie Wireless over Ethernet WoE

Dans la cas ou vous utilisez un pare-deu un commutateur ou un point d'accès en aval de votre routeur ADSL éméteur source. Evitez les obstacles tels que les murs épais et préférez des endoroits spacieux : Débarrassez le chemin des obstacles sur le trajet des ondes entre le Point d'accès comme par exemple un Access Point en 2.4GHz et 5GHz et le point d'accès source. Il est préférable de le placer dans un endroit dégagé tel un couloir.

- Evitez les interférences en placant votre AP hors de portée de celles-çi, qui peuvent provenir d'appareils électriques qui fonctionnent sur la même gamme de fréquences.

- Préférez au WLAN le Powerless over Wireless. Si votre domicile est câblé en Ethernet utiliser les connecteurs RJ45 pour relier la source du pont réseau ou du point d'accès afin de communiquer entre eux de manière plus fiable.

- Avec cette configuration vous pourrez vous connecter au routeur WiFi source et au Point d'Accès avec le même cléf de sécurité (voir un code PIN) et la couverture ne subira plus les aléas de débits inconstants et aléatoires.

La domotique a pour vocation d'harmoniser l'ensemble des dispositifs et protocoles en proposant via une console un accès distant pour le "Home Automation", (automatismes d'intérieur, caméras, stores, portes, thermostat, etc.)

Interface logicielle de Calaos

Mise en oeuvre de dispositifs :

Interface Mulitmédia pour robots,
Vidéo surveillance,
Gestion de l'éclairage, avec variateur d'intensité,
Gestion des sorties vidéos et acoustique,
Gestion des portes, volets électroniques et toutes sortes d'automates
Gestion du chauffage, des thermostats, de la consommation électrique,
Gestion de système biométrique, alarme, détecteur d'intrusion, caméras, etc.
Gestion de l'éclairage, des radiateurs et de l'énergie, chauffage, digicodes.
Accès à l'interface logicielle de supervision des composants, pilotage et programmation, (scénarios, cas d'intrusion, fracture de sérrures)

Tout ce qu'on appelle "Home automation"

Télécharger les anciènnes version de Windows par exemple XP Embedded POSReady 2009 sur le site https://archive.org

Exemple de mise en oeuvre sur le site Reseau VDI

Il faut prendre en compte que si le courant est coupé plus rien ne fonctionne comme le Power over Ethernet ou l'Ethernet over Powerline et le Ethernet over Wireless. Le RJ45 universel permet de relier des ordinateurs entre eux, le Firewire les télévisions ou des composants multimédias... L'intérêt principale du RJ45 réside dans la régularité du débit plus constant que le WiFi. Cette technologie nécessite pourtant l'installation d'un réseau de câbles important. D'ou parfois l'interêt d'utiliser le CPL avec le réseau électrique. un câble (Ethernet), relié à plusieurs types de prises EoP ou Ethernet over Powerless ou Ethernet over Powerline qui permettra d'attribuer des adresses IP à chaque sous réseau ou mieux à chaque VLAN pour ségmenter les sous réseaux même EoW ou Ethernet over Wireless. Comme bien souvent, les câblages sont encombrants mais incontournables, ils permettent d'assigner une place à chaque appareil, voir de relier des sous réseaux à des VLANs distincts pour segmenter et sécuriser le réseau afin qu'un intrus à la suite d'une intrusion ne puisse avoir une vision du réseau domestique complet. Il est possible de simuler aussi ce qu'on appelle un pot de miel (Honeynet). Un pare-feu permettra d'ajouter une couche supplémentaire de sécurité.

EXEMPLES AVEC PARE-FEU:

Netgear Prosafe G5105E

• Switch "managable" Niveau 2-3 à paramètrer avec son interface de configuration,
• 5 ports Ethernet fournissant une bande passante bidirectionnelle jusqu’à 2000 Mbps,
• QoS (Qualité de Service) pour hiérarchiser le trafic réseau,
• Support VLAN (réseau local virtuel) pour la segmentation du réseau et la sécurité,
• Test de câble pour résoudre les problèmes de connexion,
• Port mirroring,
• Gestion de la bande passante pour éviter les congestions dans le réseaux,
• Surveillance du trafic réseau et maîtrise du débit,
• Broadcast storm control.

Exemple d'un réseau domotique plus sécurisé avec un pare-feu de couche 3-7 (Cisco Meraki ou Fortinet)


LoupeCliquez pour agrandir


LoupeCliquez pour agrandir

Les Périphériques qui communiquent dans un réseau de domicile peuvent être sur un réseau ségmenté pour des raisons de sécurité. Si le réseau n'est pas ségmenté (Vlan) et ne bénéficie pas d'une protection par pare-feu en cas d'ntrusion sur par ex les caméras en Wifi, il sera possible d'accéder aux autres automates; Portail, sérrures, volets ou interface de programmation. Voir l'attaque de TV5 monde

ETHERNET, WIFI, HERTZIEN, COURANT PORTEUR

Nommer les réseaux de communication qui englobent la Téléphonie, Internet, le réseau informatique et le Multimédia n'est pas une chose facile. On parle de VDI ou (Voix, Données, Images) le réseau électrique et le CPL (courant porteur) est de plus en plus utilisé car plus accéssible que le coaxial et l'Ethernet cat 6-7 et compatible avec le PoE bien utile maintenant avec le WiFi.

Pour le VDI on parle de Voix, Donnée, Image. L’évolution du pré-câblage VDI se situe au niveau des PME plus particulièrement le marché de moins de 50 prises. Ce marché est accessible aux petits Entrepreneurs car il ne nécessite pas de trop gros budget.


LoupeCliquez pour agrandir

 

Lire le VDI et le câblage Ethernet

Aujourd’hui, câbler un immeuble consiste à installer un ensemble :
- de câbles informatiques en courants faibles (BNC, RJ45)
- des relais Wireless reliés en répéteurs ou en Ponts via courant faible ou porteur
- et de câbles électriques ou courants forts (Boitiers CPL avec antenne Wifi ou connecteur RJ45)

Le câblage courants faibles RJ45 permet actuellement de transporter :
- la voix sur Ethernet (téléphonie),
- des données sur Ethernet (les réseaux locaux)
- et de la vidéo sur Ethernet (visioconférence, édition-diffusion d’images)
- Le Wireless sur Ethernet
- Le courant porteur sur Etnernet, etc.

Vous pouvez mettre 1 routeur pare-feux avec ports Ethernet, Wireless Over Ethernet, commutateurs et Points d'Accès WiFi

réseau domotique comme un réseau d'Entreprise avec le routeur du FAI, 2 pares feux-commutateur et 1 AP Wifi

Les paramètres consisteront à ségmenter le réseau entre Internet, les Serveurs, les PC, un accès VPN à autre site d'infrastructure (AS DS, Exchange, Partages, serveur web, SGBD) et un bridge WoE, le tout idéalement répartis par VLAN. Voir la page securité et réseau


LoupeCliquez pour agrandir

Bare Metal ESXi et installation de la première machine virtuelle pour lab ou maison intelligente

RESEAUX ET CALCUL DE SOUS RESEAUX

Adressage Mac, protocole ARP, adresses IP...

empty
LoupeCliquez pour agrandir

 

IP publiques, privées, IPv4-v6, NAT-PAT et DHCP

Sous réseaux et ou VLAN ? Explications avancées (en anglais)

Introduction VLAN (segmentation par utilisation du réseau et sous résaux)

Autre exemple

Fonctionnement de Spanning Tree Protocole

Optimisation de Spanning tree avec PVST+

Configuration de PVST+

Exemple de sauvegardes TFTP aux formats .dat ou .bin sur un serveur hôte

Contrairement au SD-WAN et à ses couches applicatives, le MPLS ne se base que sur une seule couche de liaisons et n’est dépendant d’aucune autre couche ou technologie. Le MPLS représente ainsi un service unifié qui rassemble tout ce dont un réseau a besoin pour transmettre des données sécurisées d’un site à l’autre. Avec MPLS, les paquets IP sont étiquetés d’un label. Celui-ci définit la classe de services du paquet de données et le redirige vers un routeur de même classe. les routeurs n’ont pas besoin d’effectuer une analyse d’en-tête. Les "étiquettes" ou label fournissent un moyen de joindre des informations à chaque paquet. De fait, il garanti que les prochains paquets appartenant à cette même classe seront toujours transmis par le même chemin. Cela donne au MPLS la capacité de gérer des paquets avec des caractéristiques particulières; provenance et identification de ports ou acheminement de paquets pour des "applications particulières, de manière cohérente. L’empilement des labels permet d’associer plusieurs contrats de service à un flux au cours de la traversé du réseau MPLS.

Le SDN (Software Define Network)

Explication de Software Define Networking part-1

Partie-2

Le SD-WAN permet à l'aide d'une interface GUI d'équilibrer les charges réseau, de créer des jobs de sauvegarde en planifiant les tâches au moment ou le réseau est le moins sollicité ou d'utiliser une "patte" dédiée à l'aide de votre serveur de management (contrôler-Pare-feu). Ce contrôleur permet de basculer les accès aux sites distants, de monitorer des tâches de supervision, de sécurité ou de sauvegarder en sélectionnant au choix, l'accès au FAI réseau dont dépendera le niveau de débit (ex: 1Gbps et 100Mbs) tout en préservant la sécurité avec votre pare-feu "FortiGate, ASA, Palo alto", etc.. Cela afin d'assurer une redondance d'accès, ou en cas d'arrêt du service, de basculer d'un Fournisseur à l'autre. Cela vous permettra de "dispatcher" les besoins en bande passante en fonction de la demande à l'aide du GUI (Graphical User Interface) contrairement au CLI (Command Line Interface). La question comme avec Citrix c'est l'utilisation d'un agent ou comme c'est le cas actuellement via une API de s'en remettre à une connexion SSL pour gérer le réseau et ses composants sur VM et VPS pour accéder au contrôleur.

Agent ou API et interface applicative

SD WAN fournit une sélection de noeuds en plus de la sécurité des connexions VPN avec pare-feux.
La mise en œuvre d'un SD-WAN comprend :

 

EXEMPLE DE MAISON DOMOTIQUE LOCALE (EN ETHERNET A L'ANCIENNE)

Pour entrer dans la Maison, le visiteur doit d’abord passer par l’interphone. Outre la classique caméra permettant d'identifier qui se trouve devant la porte d’entrée (fonction vidéophone), l’appareil peut intègrer un lecteur d’empreintes digitales. Ce système d’identification biométrique peut gérer les empruntes de 100 personnes. L’interphone est relié au réseau téléphonique général de la maison et l’utilisateur peut y répondre depuis n’importe quelle pièce. Le combiné distant permet également d’allumer l’éclairage extérieur.(Fourni par Siedle)

La cuisine équipée d’écrans vidéo. Avec l’écran tactile, on peut regarder des chaînes de télévision ou de visionner un DVD, qui peut aussi être visionné dans une autre pièce, par exemple dans le salon (distribution vidéo multiroom). Cet écran fait ainsi office de centre de contrôle. Il permet aussi d’écouter un CD qui sera retransmis dans toute la maison intégralement sonorisée. Les enceintes étant, comme les écrans, installées dans les murs. (Equipement fourni par Vity)

ecran cuisine

Le centre de contrôle fonctionne sous Windows

il permet donc de visionner de la vidéo ou d’écouter de la musique dans la pièce où l’on se situe; l’utilisateur peut également paramétrer ce qui ce passe dans les autres pièces. L’application va gérer la température ou la lumière de chaque pièce, commander les stores motorisés des fenêtres. Un rapport rend compte des dépenses énergétiques et des optimisations possibles. Outre l’électroménager, le chauffage et l’éclairage, il signale par exemple les appareils qui restent en veille. Ce système intègre un navigateur internet pour faire ses courses en ligne depuis la cuisine, pratique...

Centre de contrôle

La salle de bain intègre un écran derrière les miroirs. Éteint, on ne le voit pas. Allumé, il apparaît en transparence et permet de regarder une vidéo depuis la baignoire. Comme les autres écrans de la maison, il est possible de visionner un DVD, des chaînes de télévision, d’accéder à internet ou au centre de contrôle général. Le tout est accessible depuis une télécommande.

réglage télécommande

Maison high-tech avec salle pour le home-cinéma. Iil s’agit la d’un ensemble Samsung équipé d'un écran le plus large en diagonal avec un ensemble son 5.1. L’écran permet également de retrouver le centre de contrôle général de la maison. La photo ici est un exemple qui date des années 2000.

Home cinéma

La maison domotique est gérée par un simple PC central vers lequel converge des informations récoltées par tous les appareils électriques de la maison. Ce réseau domestique est constitué d’un câblage conséquent avec 3 prises RJ45 par pièce pouvant être remplacé par du CPL pour y brancher, par exemple, son PC portable. L’utilisateur peut alors accéder au Net et aux services proposés via France Télécom en bas à droite de l’image. Avec autant de prises, l’utilisateur gagne en souplesse pour l’utilisation des lieux. La chambre peut rapidement devenir un bureau. Chaque prise RJ45 fournit également l’accès à la téléphonie et à la télévision (réseau VDI: voix-données-images). Le réseau téléphonique domestique permet de communiquer d’un combiné à un autre, mais offre également une fonction de surveillance: il est possible d’être appelé dans sa chambre par le téléphone proche de l’entrée s'il capte du bruit. Un système qui fait ausi office de babyphone.

Panneau de contrôle câblages

En plus des écrans vidéo, le centre de contrôle de la maison est accessible depuis la télécommande sans fil. Elle permet donc d’actionner les stores, lire le DVD ou de la musique, modifier l’éclairage, la température.

télécommande

Outre la gestion de l’accès à la maison, l’interphone intérieur permet de programmer des messages vocaux destinés aux autres occupants de la maison. L'utilisateur peut également créer un "scénario de départ", c'est-à-dire un programme qui va, par exemple, éteindre toutes les lumières et baisser la température à 18 degrés. Le lancement et la création de ce programme s’effectuent au moyen de l’écran tactile de l’interphone. L’appareil donne également la date et l’heure, ainsi que la température et la force du vent à l’extérieur.

centrale

GESTION DES AUTOMATISMES

Moteurs portail battant, volet roulant etc.
Moteur porte de garage et portails collectifs
Caméras de surveillance
Détecteur de mouvement
Chauffage et "home automation"

detecteur

De la télécommande de la TV aux vitres électriques de voitures, en passant par les programmateurs domestiques, chaque année de nouvelles technologies facilitent notre quotidien. Les automatismes jouent un rôle majeur pour offrir toujours plus de bien-être et de sécurité dans votre habitat. Leur mise en oeuvre nécessite au minimum l'apport d'une source électrique. Ils apportent incontestablement beaucoup de confort, de gain de temps, de sécurité et d'évolutivité. Les automatismes évoluent au rythme des progrés informatiques en nous offrant des nouvelles fonctions toujours plus performantes. Combinés et centralisés, les automatismes rendent votre maison intelligente et en cas de panne de courant ils doivent être débrayables.

Moteurs volet roulant, porte de garage

Les moteurs électriques peuvent actionner des volets roulants à usage domestique ou commercial. Qu'il s'agisse d'équiper une installation neuve ou d'en rénover une plus ancienne, la mise en place d'une commande électrique est simple. L'opérateur tubulaire (s'intègre dans un tube) n'ajoute que pas d'encombrement lorsqu'il s'adapte à divers types de volets roulants. Les performances des commandes électriques permettent d'actionner des poids trés importants ce qui les rendent tout à fait adaptés aux utilisations journalières. Sur le plan esthétique, la manivelle est supprimée. La manoeuvre électrique permet d'accroître la durée de vie d'un volet roulant : la souplesse et la régularité de fonctionnement du moteur réduisent considérablement les frottements et les à-coups nuisibles à l'ensemble du volet roulant. Chaque volet équipé d'un moteur est commandé individuellement par un inverseur ou un automatisme. D'un seul geste, on supprime toutes les tâches fastidieuses. Les inverseurs vous permettent d'actionner vos volets roulants à l'intérieur comme à l'extérieur de votre maison. Chaque opérateur peut être commandé individuellement. Un geste simple et rapide sur la commande générale permet de verrouiller toutes les ouvertures en même temps, et d'assurer la sécurité de l'entière habitation. Grâce à l'horloge, les volets roulants s'ouvrent et se ferment aux heures programmées. L'horloge permet aussi de simuler votre présence lorsque vous êtes en vacances. La commande radio vous apporte le confort et souvent une esthétique des plus recherchés.

La télécommande radio (Zigbee ou Z-Wave) est conçue pour commander à distance un store ou un volet roulant motorisé. Elle représente la solution pour s'affranchir de câble électrique entre le moteur et le point de commande. Pour la sécurité, la télécommande radio est dotée d'une fréquence spécifique qui évite toute interférence. L'inviolabilité de l'installation est renforcée par un code tournant infalsifiable. Les Smartphone proposent le même type de fonctionnalités avec des qualités d'interfaces aboutie. Pour davantage de confort, des télécommandes multicanaux permettent de piloter plusieurs stores et volets motorisés. Pour davantage de sécurité et de bien être, l'horloge programmable est la réponse idéale pour une installation complètement autonome. Elle lance des tâches pour permettre de fermer votre habitat automatiquement, en votre absence aux heures que vous aurez choisies. Vous pourrez réaliser en hiver de substantielles économies d'énergie en pilotant vos radiateurs à distance. La programmation hebdomadaire permet de gérer les volets en fonction des impératifs de chacun des jours de la semaine. Elle peut être modulée par 2 modes cosmiques et 1 mode sécurité : ces programmations prennent en considération un calendrier perpétuel pour accorder le mouvement des volets motorisés aux heures de lever et de coucher du soleil tout au long de l'année. Ainsi les contraintes de reprogrammation de l'horloge à chaque saison sont supprimées. En cas d'absence, le mode de sécurité permet de simuler une présence à l'intérieur de l'habitat par le mouvement des volets roulants. Pour ce faire, l'horloge exécute les ordres du mode hebdomadaire sur une plage de plus ou moins à l'heure autour de l'horaire programmée. L'horloge bénéficie d'une réserve de marche de 10 jours qui préserve sa mémoire en cas de coupure de courant. La centralisation : Elle permet de gérer en un point unique un ensemble de volets roulants motorisés. Pour réaliser une centralisation, il suffit de dédier à chaque volet un module de commande individuelle dont l'ensemble sera piloté par un module de commande générale. Le module de commande générale peut se substituer par une horloge programmable. La technologie radio dite "sans fil" s'est imposée par rapport à la technologie filaire : en effet l'absence de câbles électriques entre la commande ou le smartphone centralise le mise en oeuvre de scénarios "possibles". Plus rapide, le montage devient également plus économique. L'utilisateur peut à tout moment piloter le store à sa guise. La centrale vent soleil avec radio embarquée permet de s'affranchir des câbles électriques entre le moteur et le point de commande.

Il vous suffit de commander votre émetteur et votre porte de garage s'ouvre. Vous restez protégé contre la pluie et les intempéries. L'éclairage intégré s'éteint automatiquement au bout de 4 minutes. Les émetteurs ergonomiques sont disponibles en mini-format. L'émetteur multi-canaux permet d'ouvrir simultanément la grille d'entrée et l'éclairage de la cour. Si la porte heurte un obstacle, le système électrique de manoeuvre s'arrête automatiquement et la fait reculer afin de dégager l'obstacle. Pour une souplesse optimale, le démarrage et l'arrêt sont progressifs. La sécurité anti-intrusion est un obstacle supplémentaire à d'éventuels visiteurs. En cas de panne de courant un débrayage est prévu de l'intérieur et de l'extérieur. Le boîtier souvent en acier inoxydable ne nécessite pas d'entretien. Econome en énergie, la motorisation est un concentré de technologie.

Ouvrir et fermer son portail est devenu pour chacun une tâche ou une servitude quotidienne. Cela devient une réelle corvée lorsqu'il pleut ou dans l'obscurité totale. L'automatisme de portail permet un accés rapide à l'intérieur de votre propriété, sans géner les autres automobilistes, tout en restant à l'abri des intempéries. Le choix d'une motorisation pour portail battant est conditionné par : la position des gonds du portail sur les piliers, la dimension des piliers, l'espace utile derrière les piliers, l'angle d'ouverture des vantaux, la fréquence d'utilisation (cycles par jour) et les caractéristiques du portail : ces paramètres définissent un profil de motorisation : la motorisation à bras articulé, le vérin ou la motorisation enterrée ; Le moteur enterré est la solution technique et esthétique : elle convient dans presque tous les cas de figure et présente l'avantage d'être invisible. Néanmoins elle nécessite un peu de terrassement, de la maçonnerie et un drainage des eaux pluviales. L'ouverture des vantaux peut se faire à 180°. Le moteur enterré s'adresse à tous les types de portails. Le vérin électromécanique ou hydraulique est une motorisation qui se démarque par son caractère économique. Trés apprécié pour son faible encombrement, il présente l'avantage d'être trés compact. Le vérin hydraulique nécessite un peu plus d'entretien que le vérin électromécanique car il faut changer les joints et rajouter de l'huile régulièrement. Par sa cinématique et sa puissance, le vérin s'adresse aux portails de bonne fabrication, fonctionnant manuellement sans effort et dotés d'une ossature en aluminium ou en acier. La motorisation à bielles apporte une grande souplesse de fonctionnement au portail : sa cinématique reproduit le mouvement du bras humain. Pas de chocs ni d'efforts anormaux, le portail travaille en parfaite harmonie avec le moteur. Il allie à la fois l'esthétique, la solidité, la puissance et la performance tout en restant parfaitement silencieux. La motorisation à bielles s'adresse à tous les types de portails.

Sa simplicité, sa robustesse, et sa puissance sont les atouts de ce type de motorisation. Le mouvement linéaire assure une grande fiabilité de fonctionnement et une durée de vie accrue au portail coulissant. La transmission du mouvement s'effectue par pignon et crémaillère. Un limiteur de couple intégré confère une grande sécurité d'utilisation. La condamnation du portail est assurée par le moteur. En cas de panne de courant une clé personnalisée permet de le déverrouiller de l'intérieur ou de l'extérieur. La motorisation de coulissant s'adresse à tous les types de portails à mouvement linéaire. Il convient parfaitement aux modêles lourds et longs.

Motorisation de portes, portails collectifs et volets battants

Un large éventail de solutions permet de contrôler efficacement les accès d'une résidence privée, de l'enceinte d'une entreprise, ou de parkings ; motorisation à bielles, vérin apparent, motorisation enterrée, barrière levante, borne escamotable, convoyeur, moteur en bout d'axe. L'installation de ces produits s'inscrit généralement dans la norme NFP-25-362 qui s'applique pour tout systême de fermeture automatique. La conformité à cette norme exige la mise en place de sécurités : barrages de cellules, une tranche de sécurité, un feu clignotant, un éclairage de zone, un coffret pompier, un marquage au sol, une armoire avec logique intégrée agréée. Les applications sont diverses : portail battant en 2 vantaux jusqu'à 6 mètres de large, portail coulissant toute taille, porte de parking toute taille.

L'actionneur électrique pour volet battant se commande de l'intérieur par simple impulsion depuis un bouton. Il ouvre, ferme, entrebâille et bloque les volets en toutes positions : il est désormais inutile d'ouvrir la fenêtre, de se pencher, ou d'actionner les arrêts marseillais. En cas de panne de courant, un débrayage des bras permet la manoeuvre des volets à la main. L'actionneur se place à l'extérieur sous le linteau. Un bras à glissière permet l'ouverture ou la fermeture du volet. La faible épaisseur de l'actionneur, rend le mécanisme pratiquement invisible tout en conservant intact l'aspect du volet. L'actionneur motorise les volets à 1,2,3 ou 4 vantaux et peut s'installer de différentes façons ; sous le linteau, en appui sur le garde-corps ou sur l'appui de fenêtre. Avec des limiteurs d'effort intégrés, le dispositif ne peut pas se détériorer, fabriqué en aluminium de forte épaisseur et dûment testé, l'actionneur est à même de résister aux manoeuvres et aux intempéries pendant plusieurs années. L'actionneur est compatible avec différents automatismes ; télécommande radio, horloge programmable, commande centralisée. Le moteur de type motorisation pour stores et volets reprend une technique largement éprouvée depuis plusieurs années.

Plusieurs solutions logicielles, propriétaires ou libres

homidom.com sur github.com. Interface gratuite en libre pour ceux qui s'y connaissent un peu (intègre Ajax).

Jeedom: La solution domotique Open Source

Hager domovea et Calaos

Voir le blog domadoo

Edisio

Atera solution RMM de "Surveillance et gestion à distance"

Eedomus

Conseils pour débuter en domotique. 3 points à respecter:
- Préférez une solution libre ou open source,
- Utilisez du matériel "normalisé" (ne pas confondre avec propriétaire) compatibles avec la plupart des protocoles de transports de données; EoIP, PoE, WoE, VoIP...
- Virtualiser votre serveur de données avec une base de scénarios. Cela vous permettra de basculer très rapidement en cas de défaillance sur une nouvelle installation !

Histoire de bien débuter

Bien connecter vos câbles pour configurer iOS

Lire: Configuration d'un catalyst Cisco IOS

Première utilisation d'un switch (commutateur)

Bare Metal ESXi et installation de la première machine virtuelle

Créer un réseau à la maison pour "smart house" ou maison intélligente

Recupérer la sauvegarde de la configuration d'un switch ou flasher l'iOS

Utiliser TFTP serveur

Infrastructure de routage et commutation + Wireless Linksys WRT300N

Installation du pare-feux Fortinet

La CLI (Command line interface) de IOS

 

VOTRE SERVEUR WEB POUR UN SITE DEDIE SOUS DNS DYNAMIQUE (DynDNS)

Maintenant comme de nombreux services, il faudra payer pour bénéficier de DynDNS ! Ce service proposait depuis des années un enregistrement de nom de domaine gratuit en "mappant" une adresse IP personnelle dynamique (celle de votre FAI) avec un service de nommage de nom pour Internet. DynDNS se chargeait d'éditer votre nom de domaine et de gérer les requêtes de votre site web, installé sur un serveur local sous Apache (émulé à l'aide de EasyPHP, Wamp ou Xamp) ou sur le serveur Web IIS de Microsoft. Vous pouviez alors créer un site web, un portail de gestion de clients, mettre en ligne des applications spécifiques avec une URL comme http://gestiondemondomicile.dyndns.org afin d'accéder à vos applications sans avoir besoin d'être héberger (votre site se trouvait sur un poste dédié et sécurisé à cet effet). Le Dynamique DNS se charge de router les protocoles, la VOIP, de gérer les flux de caméras IP pour surveiller vos locaux, d'administrer à distance vos appareils connectés accessibles de n'importe quel endroit avec votre portail dédié. Ce choix nécessite une connaissance aboutie des réseaux, des protocoles de communication, de la sécurité et du développement web à savoir le HTML, PHP, ASP et .NET, JScript, etc. Vous pouvez implémenter un serveur de Groupware (WSS ou Sharepoint services sur une version serveur de Windows avec IIS) pour collaborer entre utilisateurs. Malheureusement la gratuité du service est en partie terminée. Officiellement les raisons de l'abandon de la gratuité de DynDNS sont la concurrence des applications en shareware, de la téléphone mobile, les abus des utilisateurs sur la version gratuite, les répercussions sur les utilisateurs payants et, un besoin évident, de rentabilité. L'enregistrement actuel d'un nom de domaine (sans trop de choix) pour accéder à votre site web local coûte 24€ TTC /an. Si vous optez pour une offre plus étoffé avec 1 domaine et le choix du nom (qui nécessite un enregistrement chez un "registrar"), cela vous coûtera 132€ TTC/an. Ce qui n'est pas vraiment bon marché !

 

UNE ALTERNATIVE L'UTILISATION DE DYNDNS

DYNDNS payant avec choix du nom de domaine est très pratique car il vous "déleste" du Service de "Nom de domaine" ou DNS.
Ce qui est loin d'être négligeable pour éviter les noms de domaines indésirables et malveillant en utilisant le langage naturel si vous reliez OpenDNS à l'aide de quelques lignes de script sur l'API de DDNS, vous évitant les DDoS ou déni de service distribué :

OpenDNS détecte les DNS malveillants avec le langage naturel

Cependant des connnaissances des subtilités de la sécurité du réseau (NAT, DHCP, DNS, TFTP, SSL, pare-feux layer 7, filtrage de ports, SSH, VPN, VLAN, ACL) sont indispensables.
Ainsi que la supervision (spanning tree) et la répartition ou l'équilibrage des charges pour la résolution des incidents. Vous éviterez que vos VLAN's se mettent à broadcaster de manière anormale.

DynDNS

- Automatiser les températures d'un chauffage avec accès au thermostat à distance et réglage via une interface logicielles accessible par Internet,
- Faire de la surveillance vidéo avec accès à une interface permettant de surveiller plusieurs résidences simultanément,
- Proposer un service (avec matériel compris) pour automatiser le changement de DVD ou disques durs avec grande capacité de stockage, 
- de stocker des données (datas archivage de données sensibles) via un logiciel de sauvegarde avec un accès via FTP pour les clients qui le désirent.

Acces à distance pour périphérique tels que : PC,  stockage de données,  webcam,  cctv,  imprimantes,  alarmes, surveillance et securité,  thermostat,  station météo,  serveur de jeux,  automatismes pour la maison, programmation d’alertes, etc.

DynDNS (nouvelle version)

No IP - une référence après DynDNS.

Free DNS ou No IP Free

Zonomi

DuckDNS

Certains éditeurs fournissent des logiciels d'upgrade et d'update, d'autres, des scripts à la disposition de leur API. Ils se valent "plus ou moins", donc à vous de voir celui qui vous conviendra en remplacement de DynDNS . Il vous restera à bien tester vos services et applications en ligne. Si votre routeur, xDSL, Fibre ou Wifi, propose DynDNS en option, le passage vers la version payante ne sera peut être pas nécessaire. Il faudra bidouiller avec des lignes de commandes pour faire tourner vos scripts. Sachez que si vous êtes détenteur de périphériques particuliers, vous avez DynDNS offert, c'est la cas si vous utilisez un serveur Synology. Notez aussi que si vous achetez un nom de domaine chez Gandi, avec leur API et un peu de code, vous pourrez faire vos mises à jour de zones DNS dynamiques.

Procédures:

- Cette petite procédure date, mais reste utile pour installer votre site sur un serveur Apache avec Wamp, paramétrer votre routeur ADSL et le publier avec DynDNS (dans les "grandes lignes" la configuration n'a pas changé)

- Router ou box Orange pour l'utilisation du NAT (Network Address Translation)


LoupeCliquez pour agrandir

Utiliser Simple DNSCrypt

 

SERVICES SERVEUR DNS

 

 

1foplus-2021-22

Intervention

Pour une demande, renseignez les champs du formulaire requis.

FORMULAIRE

Les champs avec * sont obligatoires

 

 

 

1foplus-2021-22