1foplus

1foplus-2021

Assistance et services

Avec la dématérialisation des systèmes et des applications pour terminaux mobiles liés au Cloud et à ses nouvelles fonctionnalités (SaaS, PaaS, IaaS, DaaS) nous pouvons bénéficier de possibilités étendues. Pour le stockage, la gestion des services, des applications, du télétravail, de la sécurité. Optimisé par la virtualisation qui passe par "le stockage d'images systèmes" et l'équilibrage, la disponibilité des services sont assurés. Depuis les années 90, le prix du stockage a tellement baissé qu'aujourd’hui, le coût du Go sur des disques durs traditionnels "mécaniques" SATA, SCSI, (tout ce qui n'est pas SSD) se situe en fonction de la marque entre 2 et 5 cts d'euros. C'est plus cher pour le SCSI, mais cela met le prix de vente de disques SATA de 18 To à moins de 20€ le Tera. En revanche, le prix du Gigaoctet pour les disques SSD est passé de 1€ à presque la moitié, soit 0,55€ le Go. Malgré une hausse des prix qui s'annonce pour 2022 pour les SSD, ce phénomène bénéficie surtout aux fournisseurs de services Cloud et à leurs offres promotionnelles de stockage. Au delà de la période de promotion vous devrez payer pour bénéficier de plus d'espace... Car le Cloud a un coût et celui-çi se chiffre plus en terme de consommation d'énergie qu'en terme de prix du stockage.Lire sur 45secondes.fr

En effet, l'utilisation des terminaux mobiles imposent de nouvelles pratiques et des modes de développement nouveaux. JQuery comme Bootstrap sont des frameworks qui permettent de rendre un site web dynamique, d'interagir avec les formulaires, de programmer des "appels Ajax", d'utiliser les CSS pour optimiser la mise en page et plus particulièrement les résolutions afin qu'elles soient compatibles avec tous types d'écrans. L'intégration du Framework, permet aussi de minimiser l'impact sur les performances et le temps de chargement des pages. Cela en fait un outil parfaitement adapté pour créer des interfaces adaptatives (responsive) à l'aide de "Document Object Model". Polyvalent, Interactif, Extensible et compatible pour toutes résolutions. JQuery ou Ajax pour "Asynchronous JavaScript and XML" (tous deux libres de droits) permettent la création de pages HTML5 avec du JavaScript, des feuilles de style ou CSS et du XML, pour des interfaces animés et évolutives (Responsive Web design).

Malgré des engagements de baisse des coûts.

Dans un contexte de tiraillement entre;

• La nécessité d'être innovant pour anticiper les besoins et déployer des services,

• La nécessité d'évoluer tout en assurant la conformité des systèmes,

• La nécessité d'optimiser les coûts...

Les réponses aux besoins sont en constante évolution. Des analyses de fond permettent de supprimer les incidents et d'approcher le seuil du "zéro interruption de services", renforcées par des logiciels redondants et d'équilibrage de charge, il devient possible d'optimiser la disponibilitée, même pour les services les plus exposés. Avec l'évolution des sauvegardes ("Bare metal", migration à chaud, snapchots...) les Plans de Reprise d'Activité ne représentent plus ce "défi incontournable". La virtualisation permet de répartir librement la volumétrie des sauvegardes pour faciliter les restaurations des serveurs.

Améliorer la productivité

- En optimisant les services de support (ITSM-CMDB)

- En fournissant un service de retour d'expérience et de qualité (workflow, groupware)

- En sécurisant votre réseau (VLAN, IDS, tests forensics, tentatives de pénétration)

- En assurant la mise en oeuvre des Plans de Retour d'Activité.

Références;

Microsoft Technet: l'optimisation d'infrastructure

Lire "les enjeux technologiques de l'information et de la communication"

Capacité d'optimisation d'infrastructure: processus de gestion ITIL/COBIT 

Virtualisation de l'infrastructure des postes de travail

Article de Michel Bauwens à propos du P2P sur Wedemain.fr

La neutralité du Net sur La quadrature du net.

Pouvez-vous faire confiance à votre ordinateur personnel ?" Article publié il y a plus de 16 ans en 2002 par R. Stallman.

Tiré du site Uzine.net Ce qu'on pouvait "imaginer" avant 2000 sur les méthodes marketing à venir et le ciblage Internet.

> Réparer la fonction "Rechercher du menu Démarrer" de Windows 10

 

Dans ce monde, rien n’est certain, sauf la mort et les impôts !
"B.Franklin"

 

1foplus-2021

Services en ligne

Nous intevenons à distance en toute confidentialité

* Avec un suivi de vos interventions et cela en toute confidentialité.

* L'analyse de l'état de vos ressources et la vérification de l'intégrité de votre système.

* La mise en oeuvre de vos sauvegardes avec des applications natives ou issue d'éditeurs tiers.

* Pour bénéficiez d'une connexion à un espace privé et accéder à vos devis et factures.

* Une assistance à distance de votre PC quelque soit le système; Microsoft, Mac OS, Android, etc.

 

BENEFICIER DE L'ASSISTANCE

1 - Positionnez votre souris sur la zone de l'image ci dessous à l'endroit ou est indiqué dans une bulle blanche pour lancer Teamviewer version 12

Teamviewer cliquez sur Démarrer ici si vous voulez utiliser TeamViewer sans l'installer

2 -Cliquez ensuite sur Exécuter ou Enregistrer. En effet, deux options s'offrent à vous; si vous désirez exécuter et installer le logiciel, cliquez sur Enregistrer, pour vous en servir en tant qu'application installée. Vous pourrez alors lancer l'application à partir de votre disque dur. Sinon lancer directement l'excécutable juste après le téléchargement.

Suivez les indications des écrans qui s'affichent ci-dessous

Télécchargez Teamviewer

Une fois que Teamviewer est téléchargé, cliquez sur Enregistrer pour lancer l'exécutable et installer l'application, cliquez sur Excécuter.

Un fois que l'excécutable est lancé cette fenêtre s'affiche

Démarrer Teamviewer

(La zone cochée "Démarrer seulement" ci-dessus permettra d'utiliser TeamViewer grace à son module de communication, sans installer le logiciel sur votre PC)

3 - Démarrer directement l'application en mode Portable. Si vous choisissez de l'installer sur votre PC: enregistrez l'application puis cochez sur "Installer" puis sur la case "Utilisation non commerciale" pour une utilisation personnelle ou cochez la case "les deux" si vous voulez une assistance technique de la part d'un prestataire.

 

4 - Acceptez les termes de la licence puis cliquez sur "Suivant" pour accéder à la fenêtre des identifiants, puis comme ci-dessous relevé l'ID de session ainsi que le mot de passe puis dans la colonne "Créer une session" cochez la case "télé-assistance"

Lancement de la session

5 - Faites nous parvenir L'ID puis le Mot de passe de la zone "En attente de session "par téléphone au : 09.75.85.85.04
Ces identifiants permettront de créer une connexion entre les machines via un canal sécurisé crypté. Nous serons alors, en mesure de vous dépanner rapidement grâce à Internet.

 

TELECHARGEZ TEAMVIEWER

Télécharger TeamviewerTeamViewer pour Windows Cliquez sur l'icône pour télécharger la version 12.0.75813.0

Mac Teamviewer pour MacOS

MobilesTeamViewer pour iphone, ipad, Androïd

 

1foplus-2021

Expertise

Nous intervenons principalement dans les Hauts de Seine et sur Paris, mais aussi en région parisienne en fonction de vos demandes.

Nos zones d'interventions ; les Hauts de Seine et Paris Cliquez pour accéder à Google Map

Spécialisés dans la mise en oeuvre et le déploiement des systèmes en environnements distribué, centralisé et hybride, nous proposons des solutions de;

- Gestion d'infrastructure et virtualisation,
- Implémentation de GED, CMS, LMS, e-commerce et espaces collaboratifs, (WSS 3.0, SharePoint Server 2010, MOSS 2007-12, Foundation et Server 2013),
- Sécurité des systèmes et réseaux,
- Sauvegarde et stockage.

INSTALLATION ET GESTION D'APPLICATIONS
- Visioconférence, VOIP, traitement de l'image (retouches, effets), imagerie médicale, montage vidéo, logiciels de création musicale et de reconnaissance vocale.

MIGRATION ET DEPLOIEMENTS
- Migration, Linux, Windows.
- Déploiement systèmes et applications à l'aide d'outils tels que SCCM, WDS, Microsoft Deployment Toolkit (MDT).
- Utilisation de Microsoft System Center, Configuration Manager, Endpoint Protection.
- Sauvegardes avec archivage, stockage et transfert des données sur NAS, SAN via canal sécurisé, VPN, etc.

RESEAUX ET PARTAGE PERIPHERIQUES
- Filaire (Ethernet, CPL), sans fil ( Wifi, 3-4-5G)
- Partage des données sur LAN (NetBIOS et SMB)
- Routage et accès distant. (RDP, VPN, etc.)

SECURISATION D'INFRASTRUCTURES
- Pare-feu, antivirus, détection d'intrusion et supervision,
- Passerelle applicative, serveur web, DNS, SMB, etc.
- Sécurité des accès à distance (tunneling, VPN, certificats, etc.)

INSTALLATION DE CMS, GED, LMS ET GROUPWARE SHAREPOINT
- Installation de SharePoint portail server sur Windows 2003-2008-2012 avec SQL server.
- Intégration de composants Webpart pour Sharepoint.
- Implémentation de CMS, GED et LMS avec gestion des contenus et maintenance.

 

PORTAILS COLLABORATIF ET GROUPWARE

Le portail collaboratif Sharepoint de Microsoft est un produits propriétaire de Microsoft que nous implémentons sur serveur web Internet Information server (IIS) avec SQL Server.

Windows SharePoint Services (WSS) est un moteur de groupware pour sites dynamiques, Il permet aux utilisateurs de partager des documents de la suite Microsoft Office et des messages électroniques en ligne comme sur un Intranet. Microsoft Office SharePoint Server (MOSS), auparavant appelé Microsoft Office Sharepoint Portal Server est un logiciel payant, permettant de réaliser des pages web dynamiques dans un espace de collaboration d'entreprise. Les fonctionnalités sont la gestion de contenus, le moteur de recherche, les formulaires, les statistiques décisionnelles, le partage de documents, groupes de discussion, tâches, etc..

Cette solution de collaboration pour PME avec Office 365 offre la possibilité de travailler en équipe sur un même document, avec de nombreux formats pourvus qu'ils soient compatibles (Excel, Word, Powerpoint, Acrobat, Visio, etc.) SharePoint permet de partager les documents en production, il améliore la qualité du support, assure le suivi, l'automation de services comme pour effectuer les plannings et assurer des tâches spécifiques d'un projet ou un processus de Workflow. Nous implémentons les versions SharePoint services v2-3, Sharepoint Portail Server 2007-10-12 et Microsoft Office Sharepoint serveur (MOSS 2010-2013) avec Office 365.

SharePoint et workflow Lire le document: SharePoint et workflow

FAQ Sharepoint Lire la Faq Sharepoint

les pratiques de l'expert Sharepoint Expert_SharePoint_2010_Practices

 

GERER LES CONTENUS ET COLLABORER

L'Avenir de L'ITSM dans les Groupware et la collaboration => Lire

Quelques offres de Groupware Open Source pour les entreprises :

- SOGo

- Agorakit

- Horde

- kolab

- Dent 2.0

Lire l'article qui présente les offres sur le site medevel.com

 

1foplus-2021

Informations techniques

HEBERGER VOTRE SITE AVEC UN DNS DYNAMIQUE

Maintenant comme de nombreux services, il faudra payer pour bénéficier de DynDNS ! Ce service proposait depuis des années un enregistrement de nom de domaine gratuit en "mappant" une adresse IP personnelle dynamique (celle de votre FAI) avec un service de nommage de nom pour Internet. DynDNS se chargeait d'éditer votre nom de domaine et de gérer les requêtes de votre site web, installé sur un serveur local sous Apache (émulé à l'aide de EasyPHP, Wamp ou Xamp) ou sur le serveur Web IIS de Microsoft. Vous pouviez alors créer un site web, un portail de gestion de clients, mettre en ligne des applications spécifiques avec une URL comme http://gestiondemondomicile.dyndns.org afin d'accéder à vos applications sans avoir besoin d'être héberger (votre site se trouvait sur un poste dédié et sécurisé à cet effet). Le Dynamique DNS se charge de router les protocoles, la VOIP, de gérer les flux de caméras IP pour surveiller vos locaux, d'administrer à distance vos appareils connectés accessibles de n'importe quel endroit avec votre portail dédié. Ce choix nécessite une connaissance aboutie des réseaux, des protocoles de communication, de la sécurité et du développement web à savoir le HTML, PHP, ASP et .NET, JScript, etc. Vous pouvez implémenter un serveur de Groupware (WSS ou Sharepoint services sur une version serveur de Windows avec IIS) pour collaborer entre utilisateurs. Malheureusement la gratuité du service est en partie terminée. Officiellement les raisons de l'abandon de la gratuité de DynDNS sont la concurrence des applications en shareware, de la téléphone mobile, les abus des utilisateurs sur la version gratuite, les répercussions sur les utilisateurs payants et, un besoin évident, de rentabilité. L'enregistrement actuel d'un nom de domaine (sans trop de choix) pour accéder à votre site web local coûte 24€ TTC /an. Si vous optez pour une offre plus étoffé avec 1 domaine et le choix du nom (qui nécessite un enregistrement chez un "registrar"), cela vous coûtera 132€ TTC/an. Ce qui n'est pas vraiment bon marché !

Mais des alternatives de DNS Dynamiques sont apparuent afin de mettre un site web sur votre PC Windows avec IIS ou avec une émulation Apache de type Wamp. Vous n'aurez cependant peut être pas le choix du nom DNS de votre site Internet à moins d e choisir une version payante spécifique et devrez assurer sérieusement la sécurité du site et des développements au quotidien. Mais ça fonctionne.

DynDNS (nouvelle version)

No IP - une référence après DynDNS.

Free DNS ou No IP Free

Zonomi

DuckDNS

Certains éditeurs fournissent des logiciels d'upgrade et d'update, d'autres, des scripts à la disposition de leur API. Ils se valent "plus ou moins", donc à vous de voir celui qui vous conviendra en remplacement de DynDNS . Il vous restera à bien tester vos services et applications en ligne. Si votre routeur, xDSL, Fibre ou Wifi, propose DynDNS en option, le passage vers la version payante ne sera peut être pas nécessaire. Il faudra bidouiller avec des lignes de commandes pour faire tourner vos scripts. Sachez que si vous êtes détenteur de périphériques particuliers, vous avez DynDNS offert, c'est la cas si vous utilisez un serveur Synology. Notez aussi que si vous achetez un nom de domaine chez Gandi, avec leur API et un peu de code, vous pourrez faire vos mises à jour de zones DNS dynamiques.

Procédures:

- Cette petite procédure date, mais reste utile pour installer votre site sur un serveur Apache avec Wamp, paramétrer votre routeur ADSL et le publier avec DynDNS (dans les "grandes lignes" la configuration n'a pas changé)

- Router ou box Orange pour l'utilisation du NAT (Network Address Translation)


LoupeCliquez pour agrandir

3 types de NATpour adressage privé ou plublique

Utiliser Simple DNSCrypt

Lire aussi: OpenDNS détecte les DNS malveillants avec le langage naturel

Entrez la commande suivante pour identifier vos ports IPv4 reliés à IPv6 dynamiques:
netsh int ipv4 show dynamicport tcp
La plage de ports dynamiques commence à partir du port 49152 jusqu'àu dernier port 65535 utilisable soit près de 16383 ports (mais il faut déduire ceux alloués aux applications. Ceci est un autre sujet)

 

SECURISER LE PROTOCOLE SMB CONTRE LES RANSOMWARES (Wannacry, Notpetya, LockBit...)

Les responsables de certains sites croient à tort que les données qu’ils abritent n’étant pas toutes confidentielles, l’enjeu de la sécurité est limitée. Lorsque vous détenez votre propre serveur web il vous faut assurer sa sécurité et vérifier les logs de connexions, afin d'éviter l'indisponibilité de vos ressources quelque soient les services; serveurs web, groupware, site de vente en ligne, etc. Accepteriez-vous que le trafic réseau que vous payez cher chaque mois, soit utilisé à 80 % par un botnet ? Ou que votre serveur de messagerie si vous en avez un soit utilisé pour relayer des spam ? Ainsi, quel que soit le site et ses applications, il existe de vraies exigences qui justifient la mise en place de mesures de sécurité spécifiques, (pare-feu, authentification renforcée, VPN) et la nécessité de patcher vos machines pour éviter toutes formes d'intrusion, scan de ports, defacing de page d'accueil, DNS Hidjaking, attaque par "brute-force" "spoofing" ou élévation de privilèges, sans compter les autres pièges et ils sont nombreux; de la rediection de liens, l'url forwarding, le port forwarding ou redirection de port, virus, trojans et autres malware dans les pièces-jointes de votre messagerie...

Le dernier ransomware s'appelle "LockBit" => Lire ce que vous devez savoir sur ce rançongiciel LockBit qui agit sur le réseau d'infrastructure.

Historiquement le protocole SMB utilisait la couche NetBIOS. Cependant le protocole NetBIOS était connu pour générer du broadcast avec la résolution de nom du protocole NetBIOS Name Server ce qui influait sur la bande passante. Pour pallier à ce problème il fallait installer un serveur WINS, et déclarer le serveur WINS dans les paramètres de la carte réseau si NetBIOS était activé. Avec Windows 10 il est préférable de désactiver complètement le protocole NetBIOS car celui-ci n'est plus nécessaire pour des raisons de sécurité (à moins, mais cela est peu probable que vous utilisez toujours un serveurs Windows 2000 !). Lire le bulletin d'information du Cert

SMB a toujours été un protocole de partage de fichiers sur le réseau. À ce titre, il a besoin de ports réseau sur un ordinateur ou sur un serveur pour communiquer avec d’autres systèmes SMB qui utilisent les ports TCP/IP 139 et 445.

Cependant avec Windows 10, Microsoft modifie donc sa façon d'apporter de nouvelles fonctionnalités à son OS, qui sera régulièrement mis à jour, comme peuvent l'être les solutions Cloud SaaS. C'est pourquoi l'éditeur introduit le concept de "Windows as a Service". A ne pas confondre avec le service d'un Windows streamé depuis un data center en mode "terminal" que Microsoft proposent comme "Desktop as a Service", équivalent à Citrix.

Le nouvel "explorateur" de Windows 11

"Files" est un équivalent à l'Explorateur de fichiers Windows" mais nouvelle génération. Enfin le design diffère, mais il est assez similaire à l’explorateur de fichiers de Windows en plus étendu. Il intégre les Clouds (OneDrive, Google Drive, iCloud…) pour vous permettre de gérer directement vos documents ou photos depuis ces emplacements et vous bénéficiez de la possibilité de visionner le contenu des fichiers en ligne.

Sur un petit RLE comptez avec les lecteurs réseau pour mapper un serveur de partage sur un PC client, sinon une solution alternative est d'utiliser "Files" à la place de l'ancien Explorateur de fichiers de Windows 7 ou de passer par le cloud de votre choix pour imprimer, échanger, partager.

Si vous avez un PC sous une version antérieur à Windows 10, lancez une commande MS-DOS en tant qu'Administrateur pour voir si les ports des partages 135 puis de 137 à 139 et 445 sont ouverts et en connexion avec soit un serveur soit un autre PC: Une intrusion bien connue porte le nom:Exploit Intrusion.Win.MS17-010sur port 445 d'un PC sous Windows 7,8,8.1 et 10 si NetBIOS est actif.

A partir de Windows serveur 2016 la version SMB est la 3.11 et il en est de même pour Windows 10 depuis (1607 à 21H2) Si vous devez désactiver le protocole SMBv2-3 pour des raisons de connectivité entre vos serveurs et les clients vous devrez re-paramétrer SMB en fonction de la version de SMB que serveur utilise. Pour les clients Windows il convient de souligner que ce contournement protège le "service serveur" SMB et ne nécessite pas nécessairement de redémarrage. En revanche, les clients SMB restent toujours vulnérables.

Lorsque Microsoft fait évoluer le protocole SMB, le but est de renforcer la sécurité, notamment la sécurité des échanges avec des algorithmes de chiffrement plus robustes (AES-128-GCM avec SMB V3.11)

En production, le SMB version 1 ne doit plus être utilisé, car il contient des failles de sécurité. En 2017, une faille dans SMB v1 a fait beaucoup de bruit : EternalBlue-CVE-2017-0144. Elle a été exploitée pour compromettre des millions de machines dans le monde et elle a été utilisée par des ransomwares ravageurs. Depuis, Microsoft a corrigé cette faille, mais cette version n'est plus maintenue. Cette version est obsolète et dépréciée depuis 2014 ! WannaCry, l'attaque ransomware la plus connue, utilise une faille dans le protocole SMB de Microsoft, laissant tous les ordinateurs non corrigés et connectés à Internet vulnérables aux attaques.  D'autres attaques exploitent des services de bureau à distance ou Remote Desktop non sécurisé, analysant par scan de ports via Internet des systèmes vulnérables. Afin d'éviter cette faille, désactivez manuellement le service SMBv1 pour passer en version 2 ou 3 plus sécurisés.

Description; Server Message Block (SMB) est un protocole réseau de couche application qui fonctionne sur les ports TCP 139 et 445. Ils sont largement utilisés pour le partage de fichiers et d'imprimantes et l'accès aux services distants. Une "Intrusion.Win.MS17-010" cible les ordinateurs Windows et exploite les vulnérabilités du réseau SMBv1 (utilisées comme ransomware pour WannaCry, ExPetr- ransomware, etc.). Microsoft à tenté de corriger la faille dans le Bulletin de sécurité Microsoft MS17-010: Lire sur MSDN


LoupeCliquez pour agrandir

Cependant Microsoft n'a identifié aucun "facteur atténuant" sur Microsoft Technet pour ces vulnérabilités. Les solutions de contournement suivantes peuvent être utiles.

Selon votre situation :
- **Désactiver SMBv1** pour les clients exécutant Windows Vista et versions ultérieures. Voir l'article 2696547 de la Base de connaissances Microsoft

**Méthode alternative pour les clients utilisant Windows 8.1, 10 ou Windows Server 2012 R2 et versions ultérieures**
Pour les systèmes d'exploitation client :
1. Ouvrez le "Panneau de configuration", cliquez sur "Programmes", puis cliquez sur "Activer ou désactiver des fonctionnalités Windows".
2. Dans la fenêtre Fonctionnalités de Windows, désactivez la case Support de partage de fichiers SMB 1.0/CIFS, puis cliquez sur "OK" pour fermer la fenêtre.
3. Redémarrez le système

FONCTIONNALITES DE SMBv3

SMB 3.0: Stockage des fichiers pour virtualisation (Hyper-V™ sur SMB). La technologie Hyper-V permet de stocker des fichiers d’ordinateur virtuel, par ex une configuration, des fichiers de disque dur virtuel (VHD) et des captures instantanées, dans des partages de fichiers sur le protocole SMB 3.0. Cette méthode peut être employée à la fois pour des serveurs de fichiers autonomes et des serveurs de fichiers en cluster utilisant Hyper-V et conjointement avec un système de stockage de fichiers partagés destiné au cluster.

Microsoft SQL Server sur SMB. SQL Server permet de stocker des fichiers de base de données utilisateur sur des partages de fichiers SMB. Pour l’heure, cette méthode est prise en charge avec SQL Server 2008 R2 pour des serveurs SQL autonomes. Les prochaines versions de SQL Server proposeront une prise en charge des serveurs SQL en cluster et des bases de données système.

Stockage classique pour les données de l’utilisateur final. Le protocole SMB 3.0 apporte des améliorations aux charges de travail des utilisateurs professionnels de l’information (Information Worker ou client). Ces améliorations réduisent notamment les valeurs de latence des applications auxquelles sont confrontés les utilisateurs des filiales lorsqu’ils accèdent à des données sur des réseaux étendus (WAN) et protègent des données contre des tentatives d’écoute clandestine.

Créer un partage SMB sous Windows 8.1 et 10

Étant donné que le service "Explorateur d’ordinateurs" s’appuie sur SMBv1, le service est désactivé lorsque SMBv1 est désinstallé. (sur le Serveur ou le client). Cela signifie que l’explorateur n'affiche plus "L'explorateur d' ordinateurs" de la même manière qu'autrefois via la méthode d’exploration des datagrammes NetBIOS héritée.

D'une part, il est fortement conseillé de mapper des lecteurs réseau pour les partages et imprimantes au lieu de passer par la fonctionnalité de "l'Explorateur d'ordinateurs". D'autre part les ressources mappées sont plus faciles à localiser et plus sûres à utiliser. Les fonctionnalités SMB version 2,0, 3,0 sont toujours entièrement prises en charge et incluses par défaut dans le cadre des binaires SMBv2. Lorsque vous activez SMBv2 sur Windows 7, 8, 8.1, 10 ou Windows Server 2008 à 2012 SMBv3 est également activé. Ce comportement se produit parce que ces protocoles partagent la même pile.

A partir de Windows Serveur 2016 la version 3.11 est activée. Si vous devez désactiver le protocole SMBv2-3 pour des raisons de connectivité entre le serveur et le client vous devrez re-paramétrer SMB sur Lanmanworkstation en fonction de la version serveur que vous utilisez. SMB et la 3.11 pour Windows 10 peut être activé depuis la version 1607 jusqu'à la version 21H2. Lorsque Microsoft fait évoluer le protocole SMB, le but est de renforcer la sécurité, notamment la sécurité des échanges avec des algorithmes de chiffrement plus robustes (AES-128-GCM avec SMB V3.11) il convient de souligner que ce contournement protège le "Service serveur" SMB et ne nécessite pas nécessairement de redémarrage. En revanche, les clients SMB (Lanmanserver) même sous Windows 10 dans certains cas restent toujours vulnérables si vous n'éffectuez pas les changements avec Powershell.

Créer des partages sous Windows 10

Eternalblue SMB MS17-010 Exploit sur Win7 avec Kali Linux

Concernant SMB si la valeur de SMBv1 est à 0 ou non présente, cela signifie que SMB1 est désactivé. En revanche si SMB2 à une valeur "DWORD" à 1 c'est que SMBv2 est le protocole de Partage local et distant. Le protocole devrait avoir la même version sur le Service Serveur (LanmanServer)que sur la station de travail (LanmanWorkstation). Prenez le temps de désactiver IPv6 uniquement sur l'interface du connexion au réseau local si vous êtes sur un petit réseau. Cela facilitera la configuration de NAT pour d'autre fonctionnalités, comme un serveur web. Notez que sur Windows une IP fixe en IPv4 facilite la configuration du NAT celui-ci est utilisé pour les jeux en réseau, le P2P et bien d'autres choses encore. Seul une IP fixe en IPv4 est nécessaire pour être renseignée sur votre routeur ADSL, ADSL-VDSL ou Fibre. Mais le sujet de IPv4 et v6 sera traité plus tard.

- Vous pouvez utiliser un pare-feu pour filtrer les tentatives d'intrusion sur les ports SMB; 139 et 445 ainsi 135, 137, 138 de NetBIOS (le protocole SMB s'appuyait sur NetBIOS et le port 139 pour contacter l'hôte,)
Les ports concernés par une règle de filtrage: 135,137-139,445, et éventuellement certains ports dynamiques...

 

MAPPER VOS DOSSIERS DE PARTAGES ET CREER VOS LECTEURS RESEAU

Ports dédiés à NetBIOS et SMB

135 - TCP/UDP
Microsoft EPMAP (End Point Mapper),
aussi connu pour DCE/RPC service ,
utilisé pour gérer à distance;
DHCP server,
DNS server et WINS.
Utilisés avec DCOM.

137 - TCP/UDP
NetBIOS Name Service

138 - TCP/UDP
NetBIOS Datagram Service

139 -TCP/UDP
NetBIOS Session Service

445 -TCP/UDP
Microsoft-DS SMB file sharing
Microsoft-DS Active Directory, Windows shares

La commande MS DOS "Net share" indique les partages actifs sur vos volumes Windows. IPC et $ après le nom du partage permet de masquer le partage dans les navigateurs informels comme ADMIN$. Pour l'acces à un partage en mappant un lecteur commencez par entrer le chemin type \\nom_du_serveur\dossier-de-partages\IPC$ permettra d'accéder directement au partage sans lister tout le chemin à condition de se connecter avec un compte doté de privilèges élevés:

- Vous pouvez créer une règle sur votre pare-feu pour SMB sur les ports: 139, 445 entre les PC de votre organisation. Si vous n'avez pas désactivé NetBIOS ajoutez les ports 135,137-139 puis sur les ports dynamiques 1110, 2869, 19780 afin de partager sur le RLE mais aussi de l'extérieur, les Imprimantes et dossier-fichiers partagés de manière beaucoup plus sécurisé. En effet, si votre règle s'applique aux ports 139 et 445 la plupart des tentatives de connexions aux partages avec un compte Système "spoofé" (élévation de privilèges par un assaillant du compte "SYSTEM" ou SYSTEME en Français) seront plus compliqués à exécuter à partir d'un scan de ports extéreur. Utilisez la commande Netsh lorsque vous partagez une connexion SMB afin de voir sur IPv4 quelle plage de ports dynamiques vous utilises et Powershell vous permettra via son interface de créer des mappages réseau.

Pour avoir une idée de la surface de nuisances utilisez la commande MS-DOS "Net share" qui indique les partages sur vos volumes Windows avec IPC$ qui permet une connexion avec un compte doté de privilèges. Imaginez si vous avez un serveur web et un NAS en partage...

Powershell

PS>New-PSDrive -Name "NameOfMappage" -Root "\\SERVER\NameOfShare" -PSProvider FileSystem
PS>New-PSDrive -Name "Share" -Root "\\SRV-PARTAGES\Share" -PSProvider FileSystem
PS>Set-Location -Path "NameOfMappage:"

<#Il est nécessaire d'entrer après le nom du mappage #>
Set-Location -Path "Share:"
Puis faites un dir ou tree
PS>Share:\>dir

Celai fera apparaître le nom du répertoire \\SRV-PARTAGES\Share

Pour mapper le partage réseau en tant que lecteur réseau entrer la commande ci-dessous :
New-SmbMapping -LocalPath "P:" -RemotePath "\\NOM_DU_SRV\Nom_Partage"

De même pour mapper un lecteur réseau à partir d'un serveur, entrez la commande ci-dessous :
New-SmbMapping -LocalPath "P:" -RemotePath "\\DC-SHARE4\Nom_Partage"

Chiffrement d'un nouveau partage entre 2 PC
New-SmbShare –Name <sharename> -Path <pathname> –EncryptData $true

Chiffrement du partage
Set-SmbShare –Name <sharename> -EncryptData $true

Lire: Comment empêcher le trafic SMB d’avoir des connexions en cours et d’accéder ou de quitter le réseau local qui nécessite d'avoir un pare-feu en aval.

Il est quand même préférable de mettre les PC de votre structure avec des système homogènes pour être sûr de bénéficier d'une compatibilité amméliorée.

Si votre structure n'est pas un réseau local d'entreprise RLE avec à titre d'exemple un pare-feux, faites en sorte que les protocoles NetBIOS et SMB en TCP (connexion) et en UDP (transfert de datagrammes) soient bloqués pour toutes tentatives de connexion via internet. Cependant, sur un Workgroup, Homegroup ou Réseau Résidentiel pour la connexion au réseau local vous devrez renseigner les adresses IP du serveur d'impression et-ou serveur de partage avec les postes du réseau local qui pourront y avoir accès. Plus particulièrement si vous êtes toujours sous 7 !


LoupeCliquez pour agrandir

Pour vérifier la version SMB de Windows ouvrez l'invite MS-DOS "En tant qu'Administrateur" pour accéder à la *Console WMI
puis avec WMIC* tapez la commande "SC.EXE"
*WMIC = Windows Management Instrumentation Console

1-Détecter sur Workstation
sc.exe qc lanmanworkstation

2-Désactiver SMB v1
sc.exe config mrxsmb10 start= disabled

SMB v2 sur client SMB

1-Identifier sur Workstation
sc.exe qc lanmanworkstation

Changement de Version SMB

2-Activez SMBv2 sur 7 Lanmanworkstation (cmd en tant qu'administrateur):
sc.exe config lanmanworkstation depend= bowser/mrxsmb10/mrxsmb20/nsi

Ou directement via ces commandes "en tant qu'administrateur"
sc.exe config lanmanworkstation depend= bowser/mrxsmb20/nsi
Puis
sc.exe config mrxsmb20 start= auto

Vérifier l'état du protocole SMB

sc.exe qc lanmanworkstation

LoupeCliquez pour agrandir

Ce qui affiche:
SERVICE_NAME: lanmanworkstation
TYPE : 20 WIN32_SHARE_PROCESS
START_TYPE : 2 AUTO_START
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME : C:\Windows\System32\svchost.exe -k NetworkService
LOAD_ORDER_GROUP : NetworkProvider
TAG : 0
DISPLAY_NAME : Station de travail
DEPENDENCIES : bowser
: mrxsmb20
: nsi
SERVICE_START_NAME : NT AUTHORITY\NetworkService

Puis Redémarrer.

Vérifiez avec la stratégie de sécurité locale sous Windows Seven avec "SECPOL.MSC"


LoupeCliquez pour agrandir

Si les paramètres de vos stratégies ont été changées et que des érreurs empêchent certaines "Exécutions" vous pouvez remettre la stratégie de sécurité par défaut à condition de l'avoir sauvegardé:

Utilisez les cmdlet Powershell

Ouvrez une invite de commandes ou comme ci-dessous avec Powershell "en tant qu'Administrateur" avec le registre .
Ensuite copier sur notepad puis collez les commandes dans la fenêtre MS-DOS:
PS>C:\Windows\System32>RD /S /Q "%windir%\System32\GroupPolicyUsers"
RD /S /Q "%windir%\System32\GroupPolicy"
Puis
gpupdate /force


LoupeCliquez pour agrandir

Lire : Vue d’ensemble du système de fichiers NFS

Sur Windows 7 vous pouvez vérifier la version de SMB pour LanmanServer avec le registre,
utilisez "regedit.exe" puis allez :

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters


LoupeCliquez pour agrandir

Vérifiez que la valeur SMB2 à bien une valeur DWORD à 1. Si SMB1est mentionné avec la valeur à "1" c'est que le prorocole SMB1 est encore actif. Désactivez le

Vous devrez redémarrer l’ordinateur après avoir apporté des modifications au registre.
Pour plus d’informations, consultez stockage serveur chez Microsoft.

IMPORTANT: Après le service "station de travail" ou LanmanWorkstation, faites de même avec le service serveur "LanmanServer".
Attention cependant avec le paramétrage de SMB car les machines de votre réseau devront avoir la même version SMB.
Sinon il vous faudra faire marche arrière pour que le service "Explorateur d'ordinateurs" fonctionne en SMBv1.

Voici comment supprimer SMBv1 avec PowerShell sur Windows 7.

Ouvrez la console Powershell ou ISE "en tant qu'Administrateur"
Vérifier si SMBv1 est actif sur le Service serveur de Windows 7

- Identifier la version avec PowerShell
Get-Item HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters | ForEach-Object {Get-ItemProperty $_.pspath}
Configuration par défaut = activé (aucune clé de Registre n’est créée), donc aucune valeur SMB1 n’est retournée.

Si une valeur est retournée, désactiver SMBv1 sur le Service Serveur (LanmanServer) avec PowerShell
Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" SMB1 -Type DWORD -Value 0 –Force

Ce qui donne comme résultat:
PS>Get-ItemProperty HKLM:\SYSTEM\CurrentControlSet\services\LanmanServer\Parameters | ForEach-Object {Get-ItemProperty $_.pspath}
ServiceDll : C:\Windows\system32\srvsvc.dll
ServiceDllUnloadOnStop : 1
EnableAuthenticateUserSharing : 1
NullSessionPipes : {}
autodisconnect : 15
enableforcedlogoff : 1
enablesecuritysignature : 1
requiresecuritysignature : 1
restrictnullsessaccess : 1
Lmannounce : 0
Size : 1
AdjustedNullSessionPipes : 3
Guid : {23, 166, 124, 25...}
PSPath : Microsoft.PowerShell.Core\Registry::HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\LanmanServer\Parameters
PSParentPath : Microsoft.PowerShell.Core\Registry::HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\LanmanServer
PSChildName : Parameters
PSProvider : Microsoft.PowerShell.Core\Registry

Identifie avec PowerShell:
Get-WindowsOptionalFeature -Online -FeatureName smb1protocol

Désactivez SMBv1:
Disable-WindowsOptionalFeature -Online -FeatureName smb1protocol

Activer SMBv2/3 sur Windows 7 avec Powershell pour LanmanServer
Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" SMB2 -Type DWORD -Value 1 –Force

 

VERIFIER AVEC POWERSHELL LA VERSION DE SMB DU SERVICE SERVEUR 8.1 et 10.

Activer toujours "en tant qu'Administrateur" SMBv2/v3 sur le Service serveur avec PowerShell

Si vous avez Windows 10, vous pouvez utiliser les cmdlets "Get-SmbServerConfiguration" et Set-SmbServerConfiguration
La commande Set-SmbServerConfiguration vous permet sur un serveur d’activer ou de désactiver les protocoles SMBv1, SMBv2 et 3 sur Windows 8.1/10.

Nouvelle applet de commande pour service Serveur de Windows:
Set-SMBServerConfiguration

Désactive avec PowerShell SMBv1
Set-SmbServerConfiguration -EnableSMB1Protocol $false

Active avec PowerShell SMBv2/3
Set-SmbServerConfiguration -EnableSMB2Protocol $true

Identifie la version de SMBv2/3
Get-SmbServerConfiguration | Select EnableSMB2Protocol

Avec le résultat:
EnableSMB2Protocol
==================
TRUE

Cmdlets pour activer SMB v2/v3 sur les services serveur et client de Windows 8.1/10

PS>Set-SmbServerConfiguration -EnableSMB2Protocol $true
PS>Set-SmbclientConfiguration -EnableSMB2Protocol $true

Plus d’informations:

>>Lire partager des fichiers dans l'explorateur de fichiers sur windows 10 en passant par le cloud OneDrive

>> Quelle est différence entre CIFS et SMB ?

>> Pourquoi vous ne devez pas nécessairement activer le cryptage conforme à la norme FIPS sous Windows

>> Scénario d’échange de paquets de protocole Microsoft SMB et NetBIOS

>>Lire partager des fichiers dans l'explorateur de fichiers sur Win10 en passant par le cloud

>> Quelle est la différence entre CIFS et SMB ?

>> Pourquoi vous ne devez pas néssairement activer le cryptage conforme à la norme FIPS sous Windows

>> Scénario d’échange de paquets de protocole Microsoft SMB et NetBIOS

>> Résolution avancée des problèmes liés au protocole SMB (Server Message Block)

>> Comment détecter désactiver ou activer de façon approprié SMB v1 pour SMB v2 ou v3 sur Windows 7, 8.1, Windows 10, Windows Server 2012 à 2016

>> Lire sur le site Microsoft la vue d’ensemble du partage de fichiers à l’aide du protocole SMB 3 dans Windows Server 2012, 2012 R2, 2016, 2019.

Si vous voulez utiliser le protocole SMB sur une machine distante via Internet via le services de nommage DNS, il vous faut lire sur le support Microsoft:
https://support.microsoft.com

>> Régler son pare feu Microsoft pour éviter les attaques sur le port 445 et SMB

>> Désactivez la mise en cache DNS côté Client et éventuellement Serveur (en fonction de son rôle)

>> Si vous voulez utiliser le protocole SMB sur une machine distante via Internet et que cela passe par le services de nommage DNS. Lire le support Microsoft.

Lire aussi "Comment migrer de Windows 10 Home à Pro gratuitement"

 

UTILISEZ WSUSOffline POUR RELANCER LES CORRECTIFS WINDOWS 7 ET ANTERIEURS

Voici la procédure à suivre : Téléchargez WSUSOffline du site 01net.com
Ou sur le site officiel : https://www.wsusoffline.net/docs/

Dézipper le package Wsusoffline109.zip en fonction de la version de l' OS avec Winrar.
Placez le dans un répertoire sur un de vos volumes. Il n'est pas nécéssaire qu'il soit sur C:\. Une fois copié dans le répertoire, lancez l'exécutable "UpdateGenerator.exe". La fenêtre ci dessous s'affiche :

Utilisation de WSUS
Cliquez pour agrandir

Cochez les cases; "Verify downloaded updates", "Include Service Pack", "Include C++".
Allez dans les options " Create ISO image(s) puis sélectionnez "per selected product and language"

Indiquez l'endroit ou vous voulez créer l'image ISO des correctifs. Sous USB medium cochez la case "Copy updates for selected products directory" puis indiquez l'endroit ou tous les correctifs seront compilés en une image ISO, par exemple dans D:\PCSVGDE_KBases. Enfin appuyez sur Start. Une fois le processus terminé, vous allez retrouver vos corectifs pour Windows x86 et x64 ainsi que les correctifs pour poste de travail si vous bénéficiez d'un serveur WSUS, comme ci-dessous:

Dans %HOMEDRIVE% ou un autre lecteur D:\PCSVGDE_KBases\w61\glb > vous trouvez les correctifs pour processeurs x86.

Dans D:\PCSVGDE_KBases\w61-x64\glb => vous trouverez les correctifs pour processeurs x64.
Si vous désirez relancer les mis à jour cliquez sur wsusoffline\client\UpdateInstaller.exe

Les images ISO pour x86 et x64 se trouvent dans le répertoire d'installation de WSUSOffline dans le dossier "ISO" comme ci-dessous.

Déployer les correctifs via WSUS

Il existe un script "Windows Update PowerShell Module" Téléchargable ici pour déployer via WSUS

Résoudre les problèmes d'update de Windows10

Téléchargez l'utilitaire de résolution des problèmes de Windows Update, puis sélectionnez Ouvrir ou Enregistrer dans la fenêtre contextuelle. Si le menu contextuel ne s’affiche pas, il se peut que votre bloqueur de fenêtres publicitaires soit activé. Si vous utilisez Microsoft Edge, les instructions pour désactiver le bloqueur de fenêtres publicitaires sont ici. Si vous utilisez un autre navigateur ou un bloqueur de fenêtres publicitaires distinct, consultez le site Web du bloqueur ou du navigateur. Si vous sélectionnez Enregistrer, une fois le téléchargement terminé, vous devez accéder au dossier dans lequel vous avez enregistré l’utilitaire de résolution des problèmes, puis double-cliquer sur le fichier "wu.diagcab" le plus récent, pour ensuite exécuter l’utilitaire. Cliquez sur Suivant et suivez les étapes de l'Assistant pour rechercher et résoudre les problèmes liés à Windows Update de Windows 10.

 

INCONTOURNABLES IMAGES ISO

Des sites proposent le téléchargement d'images ISO de Windows corrompues ou contenant des malwares ;-( C'est le cas de sites peu regardant (winmacsofts.com) qui proposent de télécharger des image ISO de Windows depuis le site de Microsoft. Le comble c'est que l'image ISO ne provient pas de chez Microsoft. Difficile alors de monter cette image ISO comme un système et de l'installer ou de virtualiser en convertissant en VHD. En fonction de votre hyperviseur ou logiciel de virtualisation; ISO, ISZ, VCD, TIB, WIM pour Windows, IMG ou DMG pour Mac OS...

*Ne téléchargez pas une image .ISO sans précautions*

De nombreuses images ISO sont corrompues car non officielles, elles peuvent contenir du code dangereux qui doit générer des alertes sur votre antivirus (Voir ci-dessous).

Alerte Kaspersky

Téléchargez une image ISO d'un système Microsoft Officiel !

2 possibilités s'offrent à vous pour récupérer une véritable image ISO de Windows: soit récupérer une image ISO de votre système sur le site Microsoft, soit aller sur le site heidoc.net. Ces images ISO serviront de "médias de redémarrage" de réinstallation ou de système portable pour Windows (utilisable sur une Machine virtuelle) ainsi qu'en cas de perte du votre DVD d'origine, avec votre Serial. Si vous avez une version OEM elle sera valable que pour la machine avec laquelle la version OEM est vendue. En principe l'OEM est rattachée à 1 machine et à ses composants matériels. La licence ne devrait fonctionner que sur cette machine. Donc gardez bien le numéro de Série de votre système Windows. Il existe cependant des moyens détournés et officiels de retrouver un "Serial" perdu.

1- Allez sur le lien suivant du site Microsoft avec votre numéro de série.

2- Autre option disponible avec l'utilitaire ISO Downloader du site heidoc.net.
Comme ci-dessous :

Avec la version 2.00 du logiciel Microsoft Windows and Office ISO Download Tool permet de télécharger toutes les versions de Microsoft Windows et d'Office. Pour la Version 2.03 la date de release est le 07-06-2016 et requière le .NET Framework 4.6.1 avec Internet Explorer 11, ainsi que la version Légale pour .NET Framework 3.5: Windows ISO Downloader Legacy.exe. Pour certaines fonctionnalités, référez vous aux articles sur les images ISO de Windows 7, de Windows 8.x et de Windows 10, ainsi celle d'Office 2013-16. Cette version 2.00 du logiciel Microsoft Windows and Office ISO Download Tool pour télécharger Microsoft Windows et Office.

La Version 2.03 requière les mêmes composants .NET Framework 4.6.1, IExplorer 11, version legale du .NET Framework 3.5: Windows ISO Downloader Legacy.exe

IISODownloader

 

AUTOLOGON WINDOWS 7-8-8.1-10

L'autologon permet de préserver un mot de passe sur votre session utilisateur mais vous n'avez plus besoin de le rentrer à chaque ouverture de session.
Ouvrir le Menu Démarrer de Windows > champ Exécuter >control userpasswords2 ou la commande "Netplwiz"

La fenêtre ci-dessous s'ouvre:

Vous serez ammené à cocher la case "les utilisateurs.... un nom d'utilisateur et un mot de passe...." pour sélectionner l'utilisateur qui sera ammené à utiliser l'autologon. Une fois le profil choisi, décocher la case "les utilisateurs devront...." puis, entrez dans la boite de dialogue qui apparaît, le mot de passe d'ouverture de session pour cet utilisateur. Confimez le mot de passe, puis validez en cliquant sur OK. A la prochaine ouverture de votre session vous n'aurez plus besoin de renseigner le mot de passe. Notez que le mot de passe est bien renseigné dans la base de registre et la base SAM de Windows et reste actif.

Cette procédure comporte cependant 2 inconvénients:

- Le 1er est qu'il n'existe plus d'autre manière pour ouvrir une session interactive avec un autre utilisateur sur cet ordinateur tant que l’Autologon est activé.

- Le 2ème est que le profil utilisateur et le mot de passe sont enregistrés en clair dans la base de registre. Cela signifie qu'il y a grosse faille de sécurité sur les partages NetBIOS et SMB. Un utilisateur, un logiciel espion, un botnet, une tentative d'exploit qui s'attribuerai les droits d'accès au registre, pourrait récupérer ces précieuses informations.

Cette solution est pratique mais pas sécurisée, donc preférez désactiver le service d’accès à la base de registre à distance et optez pour la solution d'Autologon 3.10 fournit par Sysinternals qui permet de bénéficier d'un chiffrement de votre mot de passe.
En environnement d'entreprise n'utilisez pas autologon.

 

SURVOL RAPIDE DE POWERSHELL

Windows PowerShell est l'environnement de script créé par Microsoft. Il est conçu pour fournir une solution unifiée de script et d'automatisation Windows, capable d'accéder à une large gamme de technologies telles que .NET, COM et WMI grâce à un seul outil. Depuis sa sortie en 2006, PowerShell est devenu le composant de toutes solutions de gestion basée sur le .NET Framework permettant le support aux scripts et à l'automation. Intégré depuis XP en option, puis nativement sur Windows 7. Cette interface en ligne de commandes ou CLI ressemble étrangement aux commandes Shell d'Unix. Il facilite la gestion des postes clients sur des parcs de moyenne et grande tailles sans avoir à implémenter un logiciel de gestion distribuée pour les postes avec une interface Java. L'utilisation de tâches, l'installation à distance de logiciels, des mises à jour ou l'accès aux postes d'une même structure en fait un outil d'administration incontournable. Il convient cependant de signer les connexions entre la console du poste d'administrateur PowerShell et les postes clients. Powershell est restreint sur Windows par défaut. Il faut paramétrer les Polices d'exécution et appliquer des signatures et authentifications chiffrées.

Vous pouvez le constater par une simple cmlet "Get-executionPolicy" sur Windows 7:
PS>C:\Users\Administrator.C-PC> Get-ExecutionPolicy
Restricted

Ressemblances entre batch MS DOS, PowerShell et bash Unix-Linux


LoupeCliquez pour agrandir


LoupeCliquez pour agrandir

Flèches Haut et Bas --> déplace le curseur de de Haut en bas.
Flèches Gauche et Droite --> Parcours la liste des dernières cmdes saisies.
MAJ --> Bascule en mode Insert et Replace.
Supp --> Supp le caractère de la position courante du curseur.
Espace Arr --> Supprime le caractère juste avant la position courante du curseur.
F2 --> Affiche l'hsitorique des dernières commandes.
TAB --> Complète automatiquement les éléments de la ligne de cmdes (Autocomplétion)

 

DEFINIR LES STRATEGIES D'EXECUTION DE POWERSHELL

PowerShell vous permet de créer et de lancer des scripts système avancés. Cependant, par défaut, les scripts PowerShell sont automatiquement bloqués par Windows. Voici comment les autoriser.

Restricted : aucun script ne peut être exécuté, seules les cmdlets locales sont autorisées
AllSigned : les scripts peuvent être exécutés mais ils doivent être obligatoirement signés avec un certificat
RemoteSigned : les scripts créés en local n’ont pas besoin de signature
Unrestricted : les scripts n’ont pas besoin d’être signés, qu’ils proviennent du poste local ou d’Internet.

  • Cliquez sur le bouton Démarrer, sur Tous les programmes, sur Accessoires, sur Windows PowerShell.

Cliquez avec le bouton droit de la souris sur Windows PowerShell puis cliquez sur Exécuter "en tant qu'Administrateur".

Dans la fenêtre qui s'ouvre, saisissez l'applet Set-ExecutionPolicy RemoteSigned puis validez par Entrée.

Appuyer sur Enter pour Valider

Appuyez sur [O] pour valider l'exécution des scripts PowerShell signés sur votre ordinateur.

Après avoir validé, entrez la commande "Get-ExecutionPolicy" pour vérifier que les scripts distants seront signés.

Conseil: Lorsque votre PC est sur un annuaire Active Directory, les stratégies d’exécution sont contrôlées via les stratégies de groupe ou GPO. Celles-ci sont toujours situées au-dessus des autorisations des stratrégies locales donc plus efficaces contre les exécutions indésirables. Vérifiez les stratégies définies avec «Get-ExecutionPolicy -list». Si les paramètres sont définis sur RemoteSigned, cela signifie que les scripts locaux et les scripts à distance devront avoir une signature numérique. Si le script lui-même est maintenant simplement défini sur non-restreint ou Unrestricted puis mis à disposition localement, une fenêtre d'avertissement indiquera les risques encourus en cas de mauvaise intention.

Vérifiez les stratégies définies la cmdletGet-ExecutionPolicy et l'argument -list

Exemple de restrictions sur l'utilisateur courant:
PS>Get-ExecutionPolicy -List
Scope ExecutionPolicy
MachinePolicy Undefined
UserPolicy Undefined
Process Undefined
CurrentUser RemoteSigned (utilisateur courant du registre)
LocalMachine Unrestricted (machine locale du registre)
ou RemoteSigned (sur le réseau)

Par défaut, les stratégies d'exécution de PowerShell sont Restricted et Undefined pour les portées "CurrentUser" et "LocalMachine"; cela signifie que les scripts ne s'exécuteront à distance qu'avec un avertissement. Vous pouvez vérifier le paramètre de stratégie d'exécution à l'aide de la commandlet "Get-ExecutionPolicy", comme illustré ci-dessus. Vous pouvez aussi modifier le comportement d'exécution des scripts PowerShell à l'aide de la cmdlet
Set-ExecutionPolicy -scope "nom de la porté".

Stratégie par défaut "Restricted" et "Undefined"

PS>C:\Windows\system32> Get-ExecutionPolicy -Verbose
Restricted

Comme son nom le suggère "Restricted" restreint toutes les exécutions non signés des scripts. Seuls les scripts locaux peuvent être lancés mais aucun script ne peut s'éxecuter à distance:

Remettre les restrictions par défaut:

Revient à mettre les restriction sur Undefined ou Restricted
Entrez la commande:
PS>set-executionpolicy Default


LoupeCliquez pour agrandir

Ou encore en utilisant l'argument Unrestricted

PS>set-executionpolicy Unrestricted

Message de "Execution Policy Change":
La stratégie d'exécution permet de vous prémunir contre les scripts que vous jugez non fiables. En modifiant la stratégie d'exécution, vous vous exposez aux risques de sécurité décrits dans la rubrique d'aide about_Execution_Policies. Voulez-vous modifier la stratégie d'exécution ? [O] Oui [N] Non [S] Suspendre [?] Aide (la valeur par défaut est « O ») Une fois que vous avez répondu par OUI
Vérifiez les restrictions appliquées à votre compte ou votre machine locale:
CurrentUser ou à votre Machine LocalMachine

Cependant la stratégie d’exécution Undefined remplace par défaut les restrictions d’exécution des scripts ou de chargement des modules. En ce qui concerne les scripts qui n'ont pas de certificat un avertissement apparaît.
PS C:\Scripts> .\ScriptDistant.ps1

Avertissement de sécurité:
N’exécutez que des scripts que vous approuvez. Bien que les scripts en provenance d’Internet puissent être utiles, ce script est susceptible
d’endommager votre ordinateur. Voulez-vous exécuter C:\Scripts\ScriptDistant.ps1 ?
[N] Ne pas exécuter [O] Exécuter une fois [S] Suspendre [?] Aide

Modifiez la stratégie pour une portée spécifique avec -Scope:

Vous pouvez modifier le registre et forcer le comportement des stratégies d'exécution de PowerShell à l'aide de la cmdlet
PS>Set-ExecutionPolicy -Scope "LocalMachine" -ExecutionPolicy "RemoteSigned" -force
PS>Set-ExecutionPolicy -Scope "CurrentUser" -ExecutionPolicy "AllSigned" -force

La stratégie qui s'applique à "LocalMachine" est supérieur à celle de "CurrentUser"

Cela donne le résultat:
PS>C:\Windows\system32> Get-ExecutionPolicy -list

Scope ExecutionPolicy
----- ---------------
MachinePolicy Undefined
UserPolicy Undefined
Process Undefined
CurrentUser AllSigned
LocalMachine RemoteSigned

Les stratégies d'exécution sur RemoteSigned pour LocalMachine et AllSigned pour CurrentUser sont à mon sens les mieux adaptées pour un poste personnel Windows relié à internet.Pour un serveur, la convention impose pour l'exécution des scripts à distance que les paramètres viennent des stratégies de sécurité; les scripts lancés à distance doivent s'éxécuter avec une signature numérique et un certificat d'authentification. Le respect des conseils et la maîtrise du processus de signature du code sont essentiels à la protection de l’environnement PowerShell. Appliquez les stratégies d'exécution et maîtrisez le processus de signature du code pour la protection de l’environnement PowerShell !

Vérifier aussi l'existence de votre profil Powershell


LoupeCliquez pour agrandir

Test-Path $PROFILE
Si la réponse est True laisser votre profil crée, en revanche si la valeur est False vous devrez créer votre profil manuellement
Comme ceci:
PS>New-Item -Path $profile -ItemType file -force
Une fois le profil crée comme ceci:
PS C:\Windows\system32> New-Item -Path $profile -ItemType file -force
Répertoire : C:\Users\Nom de l'utilisateur\Documents\WindowsPowerShell
Mode LastWriteTime Length Name
-a--- 05/11/2020 23:30 0 Microsoft.PowerShellISE_profile.ps1

Redémarrer ensuite PowerShell puis entrez:
pwd pour savoir ou vous vous situez dans l'arborescence puis:
PS C:\Users\Administrator>Test-Path $profile
True
Si la réponse est True cela veut dire que votre profil a bien été crée.

Verifiez la version installée sur votre système

PS>$PSVersionTable

Name Value
PSVersion 5.1.14409.1018
PSEdition Desktop
PSCompatibleVersions {1.0, 2.0, 3.0, 4.0...}
BuildVersion 10.0.14409.1018
CLRVersion 4.0.30319.42000
WSManStackVersion 3.0
PSRemotingProtocolVersion 2.3
SerializationVersion 1.1.0.1

Vérifiez votre PSVersion, BuildVersion ou la version de PowerShell que vous utilisez.

 

AJOUT DE MODULES TELECHARGES SUR DES SITES DE CONFIANCE OU LOCALEMENT

1 -Commencer par créer un point de restauration avec Powershell
PS C:\>Checkpoint-Computer
cmdlet Checkpoint-Computer at command pipeline position 1
Supply values for the following parameters:
Description: 1

2 -Vous pouvez en fonction de votre OS et de votre version PowerShell utiliser la cmdlet :
PS>Update-help

LoupeCliquez pour agrandir

Vous pouvez aussi tenter de mettre à jour votre version avec la KB3191566-x32ou x64 pour Windows 7 et server 2008 Release 2 par exemple.
Mais il semble que cette méthode lorsqu'elle est utilisée sur Win7 ne soit pas très stable. Auquel cas, désinstallez la Mise à jour KB3191566 !

Si vous possédez Windows 10 et après avoir défini les politiques d'exécution vous pouvez utiliser la commande suivante pour mettre à jour vos modules:

Ce qui lance Powershell en invoquant " -importSystemModules":
"Powershell.exe -NoExit -importSystemModules"
Le chemin étant:
%SystemRoot%\system32\WindowsPowerShell\v1.0\powershell.exe -NoExit -ImportSystemModules

Comme ci-dessous les updates et modules peuvent être installés à l'aide des cmdlets :
Get-help ou Update-Help
Get-help About_Modules
et
PS>Update-Module

Vous serez certainement "invité" à installer des modules comme "NuGet"


LoupeCliquez pour agrandir

Puis de répondre par "Yes" pour mettre à jour votre version de Powershell.

1) Localement trouver l'emplacement de vos modules en saisissant la commande:
dir env:psmodulepath
Ou encore avec une redirection:
dir env:psmodulepath | Out-File .\Documents\Logfile\modules.txt

2) Copier les fichiers appartenant à ce module dans un répertoire identifié, et mettez le dans le sous-répertoire créé avec le nom de la commande par exemple.

3) Importez le module :
PS>C:\users\mon-nom\Mes_modules> import-module "Nom du module"

4) Pour le tester ensuite, il faut saisir les commandes appartenant à ce module.
Vous pouvez les listez ainsi : 
get-module Nom.du.module
Ou récupérer les noms des modules dans le pipeline avec un fichier de "résultat"
Get-module | Out-file .\Documents\Mesmodules.txt

permet de savoir rapidement quels sont les services actifs ou inactifs en utilisant le module Windows PowerShell et son interface sous MS-DOS. Entrez cmd en tant qu'Administrateur puis taper powershell.

PS>Get-Service >C:\services.txt

Powershell liste des svc

Les Opérateurs de résultat : ">"
Get-service >filesvc.txt
Get-Service >C:\services.txt
Get-ChildItem >>files.txt
Get-ChildItem 2 >errors.txt

Lister le liste de services actifs avec la Console Windows Managment (WMIC) et la commande SC.exe
cmd /k net start >services.log à partir de l'invite avec les droits d'administrateur entrez; sc query >C:\servicesactifs.txt
C:\Windows\sc query (liste les services) (>= redirection vers) C:\servicesactifs.log

Ouvrir le fichier sur C:\servicesactifs.txt avec un éditeur de texte

Service_Name: AeLookupSvc
Display_Name: Expérience d'application
Type: 20 WIN32_SHARE_PROCESS
State: 4 RUNNING
(STOPPABLE, NOT_PAUSABLE, IGNORES_SHUTDOWN)
WIN32_EXIT_CODE : 0 (0x0)
SERVICE_EXIT_CODE : 0 (0x0)
CHECKPOINT : 0x0
WAIT_HINT : 0x0

Service_Name:ASDiskUnlocker
Display_Name: ASDiskUnlocker
Type: 110 WIN32_OWN_PROCESS (interactive)
State: 4 RUNNING
(STOPPABLE, NOT_PAUSABLE, IGNORES_SHUTDOWN)
WIN32_EXIT_CODE : 0 (0x0)
SERVICE_EXIT_CODE : 0 (0x0)
CHECKPOINT : 0x0
WAIT_HINT : 0x0
Etc

Avec la Console WMI

wmic service get state,displayname

liste des services avec WMI

Avec PowerShell
On peut aussi savoir quels sont les services actifs ou inactifs en utilisant la cmdlet "En tant qu'Administrateur":
PS>Get-Service

Services démarrés ou arrêtés

Start, stop, restart, resume, etc.

Lister les Services "Running ou Stopped" à savoir démarrés ou arrêtés avec la cmdlet "
Get-service" et Pipeline "|" puis "Out-File" comme flux de réussite:

Services Stop:
PS>Get-Service | Where-Object { $_.status -eq "stopped" } | Out-File C:\svcstop.txt

Services Start:
PS>Get-Service | Where-Object { $_.status -eq "running" } | Out-File C:\svcstart.txt

Rédémarrer un service:
PS>Restart-Service "Nom du service" -force
Vous pouvez utiliser:
PS>Start-service "Nom du service" -force
ou
PS>Stop-service "Nom du service" -force

Opérateurs de sortie ou de redirection

Windows PowerShell fournit plusieurs applets de commande qui vous permettent de contrôler directement la sortie de données. Ces applets de commande partagent deux caractéristiques importantes.
Tout d’abord, elles transforment généralement les données en une forme de texte. Elles opèrent de la sorte, car elles envoient les données à des composants système qui requièrent une entrée de texte.
Cela signifie qu’elles doivent représenter les objets sous forme de texte. Le texte est mis en forme tel qu’il apparaît dans la fenêtre de la console Windows PowerShell.

operateurs de redirection

Des applets utilisent la commande "Out, Out-Host, Out-File", car elles envoient des informations de Windows PowerShell vers un autre emplacement. L’applet de commande Out-Host ne fait pas exception : l’affichage de la fenêtre hôte se trouve en dehors de Windows PowerShell. Ceci est important car, lorsque des données sont envoyées hors de Windows PowerShell, elles sont réellement supprimées. Vous pouvez le constater si vous tentez de créer un pipeline qui pagine les données vers la fenêtre hôte, puis tentez d’appliquer une mise en forme de liste, comme illustré ci-dessous :

PS>Get-Process | Out-Host -Paging | Format-List
Vous pouvez vous attendre à ce que la commande affiche des pages d’informations sur le processus sous forme de liste. Au lieu de cela, elle affiche une liste tabulaire par défaut :

Sortie de la cmdlet Get-process avec le pipeline et Out-Host :

Handles NPM(K) PM(K) WS(K) VM(M) CPU(s) Id ProcessName
------- ------ ----- ----- ----- ------ -- -----------------------------
101 5 1076 3316 32 0.05 2888 alg
...
618 18 39348 51108 143 211.20 740 explorer
257 8 9752 16828 79 3.02 2560 explorer

L’applet de commande Out-Host envoyant les données directement à la console, la commande Format-List ne reçoit jamais rien à mettre en forme.
La façon correcte de structurer cette commande consiste à placer l’applet de commande Out-Host à la fin du pipeline, comme illustré ci-dessous. Ainsi, les données du processus sont mises en forme de liste avant d’être paginées et affichées.

PS> Get-Process | Format-List | Out-Host -Paging

Id : 2888
Handles : 101
CPU : 0.046875
Name : alg

Id : 740
Handles : 612
CPU : 211.703125
Name : explorer

Id : 2560
Handles : 257
CPU : 3.015625
Name : explorer

Cela s’applique à toutes les applets de commande Out . Une applet de commande Out-* doit toujours apparaître à la fin du pipeline.

Les opérateurs de redirection redirigent uniquement les flux vers des fichiers ou des flux vers des flux.
L'opérateur de canalisation ou pipeline achemine un objet dans le pipeline vers une applet de commande puis vers une sortie.

Redirection de flux; sortie, résultat ou capture de fichier

Redirection dans filesvc.txt:
PS>Get-service >filesvc.txt

Out-File: Pipeline pour flux de sortie

Get-Process | Out-File -Verbose D:\infolog.txt
VERBOSE: après avoir redirigé l'operation vers la cible "Out-File" et D:\infolog.txt (Verbose correspond à "bavard" ou "verbeux").

Get-ChildItem | Out-File unicodeFile.txt
Get-Content filename.cs | Out-File -Encoding ASCII file.txt
Get-ChildItem | Out-File-Width 120 unicodeFile.cs
PS>Get-Service | Out-File C:\Services.txt


Contenu du fichier C:\Services.txt ci-dessus

Pour rediriger le flux de sortie dans le CLI en ajoutant un fichier, utilisez le paramètre -Append (Ajouter) avec le pipeline puis Out-File:
Le fichier files.txt sera ajouté à la liste des fichiers listés par la cmdlet Get-ChildItem
PS>Get-ChildItem | Out-File -Append files.txt

Directory: C:\Users\Administrateur
Mode LastWriteTime Length Name
-----------------------------------------
d----- 10/03/2020 03:47 .ebookreader
d----- 14/01/2020 08:25 .swt
d----- 14/03/2020 04:50 .VirtualBox
d-r--- 27/03/2020 14:31 Desktop
d----- 19/03/2020 19:04 Documents
d-r--- 28/03/2020 03:23 Downloads
d-r--- 04/01/2020 14:01 Favorites
d-r--- 23/03/2020 07:50 Links
d-r--- 22/01/2020 02:21 Music
d----- 17/12/2019 18:50 OpenVPN
d-r--- 27/03/2020 13:46 Pictures
d-r--- 04/01/2020 14:01 Saved Games
d-r--- 04/01/2020 14:01 Searches
d----- 17/12/2019 22:14 UrbanVPN
d-r--- 29/02/2020 01:23 Videos
d----- 14/03/2020 04:49 VirtualBox
-a---- 28/03/2020 03:43 0 files.txt

Sortie d'écriture dans la console

Write-Output génère une sortie. Cette sortie peut aller à la commande suivante après le pipeline ou à la console pour être simplement affichée.

La cmdlet envoie des objets dans le pipeline principal, également appelé "flux de sortie" ou "pipeline de réussite". Pour envoyer des objets d'erreur dans le pipeline d'erreurs, utilisez Write- Error.

1- Sortie pour la prochaine Cmdlet du pipeline

Write-Output 'My text' | Out-File -FilePath "$env:TEMP\Test.txt"
Write-Output 'nom' | ForEach-Object {
"My name is $_"}

2- Sortie avant Write-Output ci celui ci est la dernière commande du pipeline
Write-Output 'Hello world'

3- Write-Output CmdLet manquante, mais reste consideré comme 'Write-Output'
'Hello world'

1.- La cmdlet Write-Output envoie l'objet spécifié dans le pipeline vers la commande suivante.
2.- Si la commande est la dernière commande du pipeline, l'objet est affiché dans la console.
3.- L'interpréteur PowerShell considère cela comme une écriture en sortie implicite.
Étant donné que le comportement par défaut de Write-Output consiste à afficher les objets à la fin d'un pipeline, il n'est généralement pas nécessaire d'utiliser la cmdlet.

Exemple,
Get-Process | Write-Output
est équivalent à Get-Process

Les messages peuvent être écrits avec;
Write-Verbose "Detailed Message"
Write-Information "Information Message"

Exemple de la commande Export
PS>Get-EventLog System | Export-Csv C:\temp\Eventsys

Utilisation du pipeline permet aussi de canaliser la sortie d'une applet de commande dans une boucle foreach:
Copie d'un répertoire vers une destination.

PS>Get-ChildItem | ForEach-Object
{
Copy-Item -Path $_.FullName -destination C:\NewDirectory\
}

Write-Output génère une Sortie d'écriture. Cette sortie peut aller à la commande suivante après le pipeline ou aller à la console pour afficher le résultat.
La cmdlet envoie des objets dans le pipeline appelée aussi "pipeline de sortie ou de réussite".

Exemple avec write-output pour la cmdlet Get-Member:
PS> Write-Output "test output" | Get-Member

Article de Microsoft sur l'exécution des scripts PowerShell
À propos des stratégies d'exécution
Lire l'article sur la sécurité de PowerShell
Getting Start with PowerShell

Exécuter Powershell sur un PC distant

Afin de maintenir, déployer, monitorer des machines sur parcs avec AD vous devez avant tout télécharger le module "WinRM" pour les fonctionnalités d'arrière-plan.

PowerShell Remoting vous permet d'exécuter des commandes PowerShell ou d'accéder à des sessions PowerShell complètes sur des systèmes Windows distants. Il est similaire à SSH pour accéder aux terminaux distants sur d'autres systèmes d'exploitation. PowerShell est verrouillé par défaut, vous devrez donc activer PowerShell Remoting avant de l'utiliser. Ce processus de configuration est un peu plus complexe si vous utilisez un groupe de travail au lieu d'un domaine, par exemple sur un réseau domestique.

Activer-désactiver PSRemoting sur le PC auquel vous souhaitez accéder à distance

Votre première étape consiste à activer PowerShell Remoting sur le PC auquel vous souhaitez établir des connexions à distance. Sur ce PC, vous devrez ouvrir PowerShell avec des privilèges administratifs. Dans Windows 10, appuyez sur Windows + X, puis choisissez PowerShell (Admin) dans le menu Power User.
Sous Windows, appuyez sur Démarrer, puis tapez «powershell». Cliquez avec le bouton droit sur le résultat et choisissez «Exécuter en tant qu'administrateur».

Dans la fenêtre PowerShell, tapez l'applet de commande suivante (nom de PowerShell pour une commande), puis appuyez sur Entrée:

Enable-PSRemoting -Force

Cette commande démarre le service WinRM, le configure pour qu'il démarre automatiquement avec votre système et crée une règle de pare-feu qui autorise les connexions entrantes. 
Le  "-Force" indique à PowerShell d'effectuer l'action sans vous inviter à chaque étape.

Vous pouvez ainsi désactiver PSRemoting si vous n'en avez pas l'utilité, ou encore par mesure de sécurité.

Si vos PC font partie d'un domaine, c'est toute la configuration que vous devez faire. Vous pouvez passer à l'étape suivante pour tester votre connexion. Si vos ordinateurs font partie d'un groupe de travail - qu'ils sont probablement sur un réseau local ou domestique d'une petite structure - vous avez un peu plus de travail de configuration à faire.

Remarque: votre réussite dans la configuration de l'accès à distance dans un environnement de domaine dépend entièrement de la configuration de votre réseau. La communication à distance peut être désactivée, ou activée, automatiquement par une stratégie de groupe configurée par un administrateur. Vous pourriez également ne pas avoir les autorisations dont vous avez besoin pour exécuter PowerShell en tant qu'administrateur. Comme toujours, consultez vos administrateurs avant d'essayer quelque chose comme ça. Ils pourraient avoir de bonnes raisons de ne pas autoriser la pratique, ou ils pourraient être disposés à l'installer pour vous.

Configurer votre groupe de travail

Si vos ordinateurs ne sont pas sur un domaine, vous devez effectuer quelques étapes supplémentaires pour configurer les choses. Vous devriez déjà avoir activé Remoting sur le PC auquel vous souhaitez vous connecter, comme nous l'avons décrit dans la section précédente.

Quelle est la différence entre les réseaux privés et publics sous Windows ?

Remarque: Pour que PowerShell Remoting fonctionne dans un environnement de groupe de travail, vous devez configurer votre réseau en tant que réseau privé et non public. 
Pour en savoir plus sur la différence entre réseau privé, domestique ou public.

Ensuite, vous devez configurer le paramètre TrustedHosts sur le PC auquel vous souhaitez vous connecter  et   le PC (ou les PC) à partir duquel vous souhaitez  vous connecter, afin que les ordinateurs se fassent mutuellement confiance. Vous pouvez le faire de deux manières. Si vous êtes sur un réseau domestique où vous souhaitez continuer et faire confiance à n'importe quel PC pour vous connecter à distance, vous pouvez taper l'applet de commande suivante dans PowerShell (encore une fois, vous devrez l'exécuter en tant qu'administrateur).

Set-Item wsman: \ localhost \ client \ trustedhosts *

L'astérisque est un symbole générique pour tous les PC. Si, à la place, vous souhaitez restreindre les ordinateurs pouvant se connecter, vous pouvez remplacer l'astérisque par une liste d'adresses IP ou de noms d'ordinateurs séparés par des virgules pour les PC approuvés.
Après avoir exécuté cette commande, vous devrez redémarrer le service WinRM pour que vos nouveaux paramètres prennent effet. Tapez l'applet de commande suivante, puis appuyez sur Entrer.

Service de redémarrage WinRM

Et rappelez-vous, vous devrez exécuter ces deux applets de commande sur le PC auquel vous souhaitez vous connecter, ainsi que sur tous les PC à partir desquels vous souhaitez vous connecter.

Testez la connexion
Maintenant que vos PC sont configurés pour PowerShell Remoting, il est temps de tester la connexion. Sur le PC à partir duquel vous souhaitez accéder au système distant, saisissez l'applet de commande suivante dans PowerShell (en remplaçant «ORDINATEUR» par le nom ou l'adresse IP du PC distant), puis appuyez sur Entrée:

ORDINATEUR Test-WsMan

Cette commande simple teste si le service WinRM s'exécute sur le PC distant. S'il se termine avec succès, vous verrez des informations sur le service WinRM de l'ordinateur distant dans la fenêtre, ce qui signifie que WinRM est activé et que votre PC peut communiquer. Si la commande échoue, vous verrez un message d'erreur à la place.

Exécuter une seule commande à distance

Pour exécuter une commande sur le système distant, utilisez l'  Invoke-Command applet de commande à l'aide de la syntaxe suivante:

Invoke-Command -ComputerName COMPUTER -ScriptBlock {COMMAND} -credential USERNAME

«ORDINATEUR» représente le nom ou l'adresse IP du PC distant. «COMMAND» est la commande que vous souhaitez exécuter. "USERNAME" est le nom d'utilisateur avec lequel vous souhaitez exécuter la commande sur l'ordinateur distant. Vous serez invité à entrer un mot de passe pour le nom d'utilisateur.

Voici un exemple. Je souhaite afficher le contenu du répertoire C: \ sur un ordinateur distant avec l'adresse IP 10.0.0.22. Je veux utiliser le nom d'utilisateur "wjgle", donc j'utiliserais la commande suivante:

Invoke-Command -ComputerName 10.0.0.22 -ScriptBlock {Get-ChildItem C: \} -credential wjgle

Démarrer une session à distance

Si vous souhaitez exécuter plusieurs applets de commande sur le PC distant, au lieu de taper à plusieurs reprises l'applet de commande Invoke-Command et l'adresse IP distante, vous pouvez plutôt démarrer une session distante. Tapez simplement l'applet de commande suivante, puis appuyez sur Entrée:

Enter-PSSession -ComputerName COMPUTER -Credential USER

Encore une fois, remplacez «ORDINATEUR» par le nom ou l'adresse IP du PC distant et remplacez «UTILISATEUR» par le nom du compte d'utilisateur que vous souhaitez invoquer.

Votre invite change pour indiquer l'ordinateur distant auquel vous êtes connecté et vous pouvez exécuter n'importe quel nombre d'applets de commande PowerShell directement sur le système distant.

Fonctionnalités de PowerShell



scripts PowerShell pour vérifier vos mises à jour Lire sur le site à propos des hotfixes et PowerShell 5.1

Administration et PowerShell PowerShell de A à Z et l'administration

Gérer le niveau de confidentialité sur Windows 10 Lire : Les commandes réseau en Powershell

le tutoriel PowerShell Lire : Tutoriel Powershell

le tutoriel PowerShell Lire: L'interface en ligne de commande PowerShell (s'applique à tous les systèmes Windows)

Correctifs installés sur un PC sous Windows

>Tout d'abord, créer un répertoire "C:\temp" puis utilisez le script ci-dessous pour lister les KB ou correctifs de la bases de connaissances installées sur votre machine. Passez par l'invite de cmd. "Démarrer" puis "Exécuter" en tant que Administrateur puis créer la redirection vers le dossier C:\temp de manière à récupérer le contenu du fichier C:\temp\UpdateList.txtcontenant la liste des correctifs ou KB installées sur votre poste.

>+ Simplement à partir des versions > à Vista vous pouvez utiliser la commande systeminfo :
C:\>systeminfo >C:\infosys.log
Chargement des informations de correction...

Il vous restera à ouvrir le fichier log "infosys.log" avec un éditer de texte.

Pour récupérer les détails copiez le script WMI ci-dessous dans l'éditeur notepad:
wmic qfe GET description,FixComments,hotfixid,installedby,installedon,servicepackineffect >C:\UpdateList.txt

lister les maj

Le résultat lorsque vous ouvrez le fichier UpdateList.txt apparaît comme ci-dessous ;

listes des correctifs
LoupeCliquez pour agrandir

Avec PowerShell, la commande "verbe-noun" Get-HotFix donne le même résultat !

Les quotes = "." permettent de combler les espaces dans les "chemins" ou path
(Cela est une vielle convention chez Microsoft)...
Exemple: log infos.txt devra pour être pris en compte dans votre script devra être entre quotes "log infos.txt"

Si vous oubliez les Quotes comme ci-dessous un message d'erreur apparaît

PS>Get-HotFix | Out-File D:\log infos.log
Les quotes ne sont pas présents sur le fichier de sortie "log infos" cela génère un code d'erreur:
Out-File : Cannot validate argument on parameter 'Encoding'. The argument "infos.log" does not belong to the set "unknown;string;unicode;bigendianunicode;utf8;utf7;utf32;ascii;default;oem"

Fichier de sortie dont le nom est entre "---" quotes vient du fait qu'il contient un espace => Log infos.txt.
Get-HotFix | Out-File "D:\Log infos.txt"

Le fichier "log infos.txt" contient les HotFix installés, listées dans le fichier de sortie ci-dessus.

Il est aussi possible de d'utiliser la commande computerinfo
Get-computerinfo >D:\infospc.txt

Le gestionnaire d'identification

Les gestionnaire d'idetification permet d'enregistrer les username/password pour votre poste, un site ou l'accès à un partage réseau

Les informations sont stockés ici en fonction de l'OS, mais encryptées:

%localappdata%\Microsoft\Vault\<GUID>

Pour les comptes systèmes:

С:\Windows\System32\config\systemprofile\AppData\Local\Microsoft\Vault\<GUID>
С:\Windows\System32\config\systemprofile\AppData\Roaming\Microsoft\Vault\<GUID>
C:\ProgramData\Microsoft\Vault\<GUID>

SE PROTEGER DES MALWARES ET RANSOMWARE AVEC WINDOWS 10

Microsoft a intégré une protection qui empêche toute application suspecte de modifier des fichiers protégés. Voici comme activer et paramétrer cette nouvelle fonctionnalité.

Win 10 Fall Creators et Ransomwares

Pour bénéficier de cette fonctionnalité, il faudra fouiller dans les réglages de Windows. Rendez-vous dans Paramètres > Mise à jour et sécurité > Windows Defender» et ouvrez le "Centre de sécurité Windows Defender". Ensuite, allez dans la rubrique "Protection contre les virus et menaces" et cliquez sur "Paramètres de protection contre les virus et menaces". Lire la suite sur 01Net

Autres menaces sur Internet

Il faut savoir que près de 20.000.000 d'utilisateurs de Chrome sont Victimes de Faux Ad Blockers !

Voilà l'action d'un faux bloqueur de publicité
1.
Il cache du code malveillant dans une bibliothèque javascript bien connue (JQuery).
2. Ce code renvoie à leur serveur des informations sur certains des sites Web que vous visitez.
3. Il reçoit les commandes du serveur distant du centre de commande. Afin d'éviter la détection, ces commandes sont cachées dans une image d'apparence inoffensive.
4. Ces commandes sont des scripts qui sont ensuite exécutés dans le contexte privilégié ("page d'arrière-plan" de l'extension) et peuvent modifier le comportement de votre navigateur de n'importe quelle manière.
Fondamentalement, il s'agit d'un botnet composé de navigateurs infectés par les fausses extensions adblock. Le navigateur fait tout ce que le propriétaire du serveur du centre de commande lui ordonne de faire.

Liste des principales menaces en 2019-20
AdRemover for Google Chrome™ (10M+ users)
uBlock Plus (8M+ users)
Adblock Pro (2M+ users)
HD for YouTube™ (400K+ users)
Webutation (30K+ users)

Ces extensions ont été signalés à Google. Espérons qu'ils seront bientôt supprimés.
Lire sur le site de AdGuard en anglais

Le Phishing est aussi très répandu : soyez prudent lorsqu'il s’agit de télécharger ou de publier des données personnelles, particulièrement lorsqu'il ne s'agit pas de vous... Répondre à une offre de téléchargement gratuite, gagner un cadeau, succomber à des offres à des prix très attractifs, peut comporter certains risques... En aucun cas il ne doit vous être réclamé de compensation financière pour participer à un tirage au sort ou de renseigner un formulaire de données personelles pour mettre vos données bancaires à jour par exemple.

Phishing - Forme d'escroquerie très prisée ces dernières années qui consiste à prendre l'identité d'une entreprise connue et reconnue sur un e-mail pour inciter les destinataires à changer ou mettre à jour leurs coordonnées bancaires ou autres via des pages imitant celles de l'entreprise dont l'image a été utilisée pour l'escroquerie.

Utilisez un module contre le Phishing et le Spam voir un gestionnaire de Cookies pour votre messagerie et contre le tracking pour votre Navigateur (Il en existe pour chacun d'eux; IExplorer, Chrome, Firefox, Opera, Safari, etc.) Dans les réglages du navigateur vous trouverez les paramètres pour éviter de se faire "tracker".

CONSEILS POUR LA MESSAGERIE

Gardez bien les mails indésirables dans le dossier "indésirables ou Spam" pour renseigner la base de données des noms de domaine. En cas de doute, n'oubliez pas de vérifiez l'expéditeur ainsi que l'en-tête du courrier.

Le cas échéant vous pouvez toujours vérifier l'expéditeur du courrier sous Gmail en ouvrant "Affichez l'original" !

vérifiez l'origine d'un mail

Evitez les clés USB pour tranférer vos données personnelles d'une machine à une autre dans un environnement extérieur. Il existe dans Windows des paramètres qui empêchent d'utiliser des clés USB en dehors des environnements validés. Cela est possible grâce à la stratégie de sécurité : Démarrer\Windows\system32\secpol.msc. Demandez cependant à un technicien qui connait bien les stratégies de changer les paramètres. Cela est indispensable car bien que la stratégie de sécurité locale puisse restreindre beaucoup de paramètres il est préférable d'appliquer des stratégies de sécurité sur des groupes via Gpedit.msc et un réseau Active Directory. Si vous vous lancez dans le paramétrage des stratégies de sécurité cela pourrait se solder par des blocages à vos depends; renseignez vous et vérifier que votre antivirus scanne les volumes "montés" (mount) via l'USB comme c'est le cas pour les disques durs externes ou les clés USB insérées sur votre PC.

Utilisez un mot de passe pour chaque service ou portail avec un changement régulier (cela dépendra du nombre de tentatives de connexions non désirables que vous aurez auditées). Faites en sorte d'utiliser un mot de passe pour chaque service comme Facebook, Google, Outlook, Amazon etc… Plus le mot de passe est long plus il est difficile à craquer. Lorsqu'un hacker va cracker un mot de passe, une des premières choses qu’il va faire c’est de tenter de savoir s'il existe une correspondance entre ce mot de passe et d’autres sites internet ou votre messagerie. Evitez donc "d'agréger" vos identifiants. Utilisez un nettoyeur de traces, pour éffacer les fichiers temporaires, cookies et traces laissés sur Internet comme "CCleaner" au plus puissant "DiskMax" tous les deux gratuits. On l’a vu avec la fuite de LinkedIn, les mots de passe mis en vente datent de 2012, soit près de 4 ans. Il existe des applications avec votre suite Antivirus pare-feu ou bien pour Android qui permettent gérer vos mots de passe. Il en est de même sur Microsoft, Linux ou MacOS. Lorsque vous êtes connectés sur des portails (FAI, Moteurs de recherche, sites avec authentification forte, espaces collaboratifs). Déconnectez-vous toujours lorsque vous quittez le portail. Cela vous permettra de désactiver le cookie de connexion et de moins laisser de traces.

•Lire sur les bundleware

sur le site d'Eset le glossaire des "arnaques potentielles".

Références

PowerShell de A à Z et l'administration

Lire : Administration Unix

Administrer un réseau Linux Lire : Linux administration du réseau

Administrer un réseau Linux Lire : Support Apache (D.Szalkowski)

Lire : Les commandes réseau en Powershell

Lire : Tutoriel Powershell

Lire : PowerShell More in Depth Look

Lire : Formation à la programmation Batch

Lire : Tutoriel WMIC de Malekal ou Gestion WMI

Autres sites sources d'informations

https://codes-sources.commentcamarche.net

http://www.systanddeploy.com

https://www.softpedia.com

zataz.com

developpez.com

docs.microsoft.com/fr-fr/sysinternals

blogs.developpeur.org/fabrice69

support.microsoft.com

dyn.com/dns

www.hiren.info

www.it-connect.fr

www.generation-nt.com

www.nirsoft.net

macbidouille.com/

www.manageengine.com/products/service-desk

BMC Helix ITSM - BMC Français

www.lemagit.fr

CV C.Platon CV C.Platon 2021

 

1foplus-2021

Domotique

DOMOTIQUE POUR ENTREPOTS - MAGASINS OU MAISONS CONNECTEES

L'utilisation de la domotique nécessite la combinaison de plusieurs technologies

Des applications et protocoles pour relier en toute sécurité vos périphériques: audiovisuels, composants électroniques, périphériques tels que home cinéma, système audio, vidéo, caméras, digicode, portails…

Le pilotage informatique à distance avec automatisation des tâches avec;
- Protocoles EoIP, VoIP, PoE, WoE, WiFi, CPL le hertzien avec Zigbee, Z-Waves,
- Gestion des alertes,
- Supervision,

Création de scénarios (scénarii) pour lancer les alertes;
fractures de sérrures, des volets, du portail des fenêtres.
Gestion des radiateurs et de la température du chauffage,
Gestion des écrans TV, des caméras,
Gestion des alarmes, détecteur de mouvements, lumières.
Autant de scénarios qu'il est possible de créer, pour bien faire.
- Utilisation de l'interface web accéssible de périphériques tels que, console, smartphone, tablette avec connexions sécurisées.

Pour nous convaincre de l'utilitée de créer un système de surveillance doté de caméras revenons sur l'incendie d'OVH


LoupeCliquez pour agrandir

C’est pourquoi OVH a choisi de dépenser sans compter dans le renforcement de la sécurité de ses datacenters.
Lire: Ce qu'il faut savoir pour éviter "à tout prix" un nouvel incendie...

 

Transporter les "données" de votre habitat...que choisir entre Ethernet RJ45, le WiFi, le X10 ou CPL (courant porteur) ou le mélange des différentes technologies ?

Avec Ethernet vous pouvez utiliser plusieurs type de connexion; l'Ethernet, le Wireless over Ethernet WoE, le CPL avec Powerline over Ethernet PoE. Ainsi le X10 est un protocole de communication par courant porteur. Il permet aux produits compatibles de dialoguer ensemble via l'installation électrique de votre habitation. Le X10 représentre une véritable avancée pour ce type d'installation qui nécessite parfois des travaux encombrants de câblage...Un boitier CPL connecté à votre prise électrique est muni d'une prise réseau RJ45 relier en CPL (PoE) ou à un adaptateur WiFI (WoE) permettant de raccorder la plupart des composants entre eux. Plusieurs boitiers forment un réseau en se synchronisant les uns avec les autres. Plus besoin de changer de place vous accedez ou que vous soyez à ce que vous désirez.

En simplifier :
Des câbles Ethernet lorsqu'ils sont reliés à un Switch permettront d'avoir de meilleurs performances en particulier pour la Wifi et les principales connexions utilisées. Le PoE ou Powerline over Ethernet, WoE ou Wireless over Ethernet permettent à la domotique d'intègrer plusieurs types de transport de données. Comme bien souvent, les câblages sont encombrants mais incontournables car ils permettent d'assigner dynamiquement une place à chaque appareil, voir même de les relier à un sous réseau ou à un ou plusieurs Vlan. La solution la plus fiable mais couteuse à mettre en place; Ethernet en câblage "universel", (Voix, Données, Images) vous permettra de raccorder tous types d'appareils à une prise RJ45 (Fast ou Giga Ethernet). Cette technologie assure, disponibilitée et fiabilitée dans le transport de données et bénéficie d'un débit constant. Cependant l'installation des câbles nécessite un panneau de brassage et des compétences, mais avec un switch vous pourrez utiliser le WiFi de manière plus constante au sein de la maison. Le réseau de prises relié à un boîtier (concentrateur, ou mieux commutateur ou switch en Anglais), que l'on place à part dans un placard "technique" de préférence caché et sécurisé, relié au panneau de brassage, vous permettra de béneficier d'un débit constant que cela soit en Ethernet ou avec du Powerline over Ethernet (PoE) ou en Wireless over Ethernet (WoE). L'Ethernet universel et ses prises RJ45 permet de relier les ordinateurs entre eux, la voix et les images pour rediriger les flux TV ou multimédias, le Wifi... L'intérêt principale du RJ45 réside dans sa régularité avec son débit plus constant que le WiFi. Il est parfois plus facile d'utiliser le CPL avec le réseau électrique relié à un switch PoE. Un câble (Ethernet) sorti du routeur ou de votre box Internet, relié à un switch doté de ports PoE (Vérifiez quand même les spécificités du switch) vous assurera des bonnes connexions utiles en domotique pour piloter ou planifier des tâches sur plusieurs périphériques. Le câblage Ethernet reste "l'incontournable" car il permet d'assigner aux prériphériques plusieurs technologies de transports de données.

Les câbles Ethernet

Pour revenir au sujet de la domotique, les réseaux et technologies de transports de données pour les images, sons, données utilisent plusieurs medium; Ethernet (catégories) Wireless, X10 (Norme du CPL en Europe) ou Hetziens (Zigbee, Z-waves) et GPS avec la téléphonie mobile afin de relier à distance et en temps réel une interface web sécurisée de gestion et de supervision de vos équipements.

Z-Wave a moins de problèmes de congestion

Aux États-Unis, Z-Wave fonctionne sur une fréquence radio moins utilisée – 908,42 MHz – tandis que ZigBee fonctionne à 2,4 GHz et peut concurrencer le Wi-Fi. La congestion peut rapidement s’accumuler entre l’hôte d’appareils ZigBee dont vous pourriez avoir besoin pour maintenir un réseau maillé fiable, votre Wi-Fi, le Wi-Fi de votre voisin et tout autre appareil fonctionnant à la même fréquence.

Z-Wave ne fait pas face à la même concurrence en matière de ressources, il établit donc potentiellement des connexions plus solides et plus fiables, en fonction de votre environnement.

Wi-Fi ou Z-Wave et ZigBee?

Que vous utilisiez Z-wave et ZigBee ou Wi-Fi dépend de ce qui est le plus important pour vous en ce qui concerne votre expérience de maison intelligente. Si vous voulez que tout fonctionne avec Google ou Alexa et que vous ne voulez pas ajouter de complications au hub intelligent, les appareils Wi-Fi sont la meilleure option. Mais si vous voulez un contrôle local et sans nuage – et une maison intelligente, vous pouvez ajuster les spécifications les plus avancées – ZigBee et Z-Wave gagnent.

Gérer les températures d'une maison, d'un entrepot, d'un centre de données avec accès au thermostat à distance, surveillance des locaux avec la video et une interface unique pour plusieurs sites, automatiser les composants reliés à votre architecture, etc. La gestion d'une installation domotique comprend un accès à distance via une interface de gestion (propriétaire, rarement libre) un réseau utilisant Ethernet, le WiFI, le CPL, le Bluetooth, les microwaves, ondes radio ou hertziennes, etc. Pour la détection d'intrusion différents scénarios sont programmables. Leurs fonctions étant de refléter au mieux vos habitudes de sorte que tout évènement imprévu soit analysé afin de générer une alerte. Les tâches répétitives sont aussi activées automatiquement, une commande est lancée, le programmateur analyse la commande et active les scénarios de vie que vous aurez prédéfinis. Vous restez maître de votre environnement grâce aux différents moyens d'accès aux commandes. (fonction vocale par téléphone, accès avec prise de contrôle, etc.)

Points communs des technologies

- Permettre de sécuriser vos locaux d'habitation, commerciaux ou entrêpots,
- Assurer de meilleurs rendements de votre consommation d'énergie,
- Automatiser des tâches (régler la température, fermer les stores, portes etc.)
- Bénéficier d'un retour d'informations immédiat et visualiser les évènements.


Pare-feu 6 ports Ethernet avec ports PoE port console et 2 ports USB

Gamme commutateur Cisco Ethernet

Exemple de réseau câblé RJ45 Ethernet 10/100Mbps ou 1/10Gbps

Le WiFi, est en pleine évolution et permet de coupler ces différentes technologies. Il est en effet possible d'utiliser un câblage RJ45 universel et de relier une console ou un Mediacenter à une borne WiFi de manière à diffuser le signal sur un canal sécurisé. Tous les périphériques munis d'un récépteur Wifi reçevrons le signal. Cela vous permettra d'accéder à toutes les pièces de la maison. Cette technologie est modulable, sécurisée mais souffre cependant de quelques défauts car la bande passante est divisée par le nombre de périphériques connectés en cours d'utilisation. Cet inconvéniant tend à s'atténuer du fait des débits, 2.4 GHz (comme le Wi-Fi) et 5 GHz proposés par les nouveaux Points d'Accès Wireless. L'interêt de cette technologie est de coupler Ethernet avec les Points d'Accès (Acess Point) de la maison de manière à avoir bénéficier d'une plus grande couverture Wifi. Comme cela est montré sur le shéma ci-dessus, il conviendra de ségmenter le réseau.

Il faudra respecter la sécurité et créer des sous réseau par composants ou isoler les ports du commutateur utilisé.

Isolation de port:

Lorsque vous activez le mode d'extension, ou accéder à l'interface d'adminstration le port PoE est isolé des autres, ceci est utilisé si vous souhaitez exécuter plusieurs périphériques / réseaux sur la même infrastructure physique ou équipement mais souhaitez les garder séparés, afin d'améliore la sécurité, l'efficacité et la gestion.

Exemple :
1 sous réseau pour les caméras, 1 sous réseau pour les automatismes d'intérieur, 1 sous réseau pour les PC connectés, 1 autre pour l'interface d'administration ou la console de pilotage de votre application domotique. Si vous voulez allez plus loin dans la sécurité vous pourrez créer des VLAN par composants en ségmentant de façon perméable le réseau au lieu de créer des sous réseau reliés entre eux. Si votre routeur est en 192.168.1.1 avec le NAT les caméras sera compris entre 10.10.0.10 et 10.10.0.20 pour 10 caméras. Pareil pour les automatismes qui seront en 10.10.2.1 à 10.10.2.20 soit 19 composants automatisés; 8 volets, 6 portes avec sérrures, 5 radiateurs et 2 portails (1 pour l'entrée et 1 autre pour le garage), le système d'alarme qui intégrera les adresses de ces composants de manière à ce qu'en cas de fracture de volet, portes, portails, plusieurs scénario soient mis en place sur la console de pilotage via une base de données pour déclencher l'alarme, soit localement, soit chez un prestataire. Le tout devra par ailleurs intégrer des scénarios de coupure de câble, de coupure du réseau, voir de l'électricité afin de lancer une tâche immédiate d'alerte.

Pour préciser si l'adresse IP de votre routeur est 192.168.1.1, l'adresse IP de votre pare-feu ou commutateur sera comprise entre 192.168.1.2 et 192.168.1.254. Avec un masque de sous-réseau 255.255.255.0, la passerelle par défaut doit être 192.168.1.1. Si vous devez utiliser une un nouveau composant du type commutateur, Bridge ou Pont WiFi celui-çi devra avoir comme IP 192.168.254.255; donc pour se connecter via le port USB ou série (bien qu'ils n'en exsitent pratiquement plus que sur les vieux portables) et entrez https://192.168.254.255 vous obtiendrez un boite de dialogue avec le Compte et le Password. Ceux-çi seront renseignés sur la boite, à l'arrière de votre commutateur-pare-feu, ensuite changez le mot de passe et sécuriser le par un chiffrement, lorsque le péripherique le permet.

Exemple d'infrastructure de surveillance sur réseau IP

Infrastrucutre IP

Exemple de surveillance de 2 locaux distants

Remote

Utilisation de commutateurs PoE pour relier vos locaux entre eux avec Point d'accès ou bridge en WoE

Surveillance à distance de plusieurs locaux via EoP et la techologie Wireless over Ethernet WoE

Dans la cas ou vous utilisez un pare-deu un commutateur ou un point d'accès en aval de votre routeur ADSL éméteur source. Evitez les obstacles tels que les murs épais et préférez des endoroits spacieux : Débarrassez le chemin des obstacles sur le trajet des ondes entre le Point d'accès comme par exemple un Access Point en 2.4GHz et 5GHz et le point d'accès source. Il est préférable de le placer dans un endroit dégagé tel un couloir.

- Evitez les interférences en placant votre AP hors de portée de celles-çi, qui peuvent provenir d'appareils électriques qui fonctionnent sur la même gamme de fréquences.

- Préférez au WLAN le Powerless over Wireless. Si votre domicile est câblé en Ethernet utiliser les connecteurs RJ45 pour relier la source du pont réseau ou du point d'accès afin de communiquer entre eux de manière plus fiable.

- Avec cette configuration vous pourrez vous connecter au routeur WiFi source et au Point d'Accès avec le même cléf de sécurité (voir un code PIN) et la couverture ne subira plus les aléas de débits inconstants et aléatoires.

La domotique a pour vocation d'harmoniser l'ensemble des dispositifs et protocoles en proposant via une console un accès distant pour le "Home Automation", (automatismes d'intérieur, caméras, stores, portes, thermostat, etc.)

Interface logicielle de Calaos

Mise en oeuvre de dispositifs :

Mulitmédia,
Vidéo surveillance,
Gestion de l'éclairage, avec variateur d'intensité,
Gestion des sorties vidéos et acoustique,
Gestion des portes, volets électroniques et toutes sortes d'automates
Gestion du chauffage, des thermostats, de la consommation électrique,
Gestion de système biométrique, alarme, détecteur d'intrusion, caméras, etc.
Gestion de l'éclairage, des radiateurs et de l'énergie, chauffage, digicodes.
Accès à l'interface logicielle de supervision des composants, pilotage et programmation, (scénarios, cas d'intrusion, fracture de sérrures).

Tout ce qu'on nomme "Home automation"

 

Exemple de mise en oeuvre sur le site Reseau VDI

Il faut prendre en compte que si le courant est coupé plus rien ne fonctionne comme le Power over Ethernet ou l'Ethernet over Powerline et le Ethernet over Wireless. Le RJ45 universel permet de relier des ordinateurs entre eux, le Firewire les télévisions ou des composants multimédias... L'intérêt principale du RJ45 réside dans la régularité du débit plus constant que le WiFi. Cette technologie nécessite pourtant l'installation d'un réseau de câbles important. D'ou parfois l'interêt d'utiliser le CPL avec le réseau électrique. un câble (Ethernet), relié à plusieurs types de prises EoP ou Ethernet over Powerless ou Ethernet over Powerline qui permettra d'attribuer des adresses IP à chaque sous réseau ou mieux à chaque VLAN pour ségmenter les sous réseaux même EoW ou Ethernet over Wireless. Comme bien souvent, les câblages sont encombrants mais incontournables, ils permettent d'assigner une place à chaque appareil, voir de relier des sous réseau à des VLANs distincts pour sécuriser le réseau sans qu'un intrus à la suite d'une tentative ne puisse avoir une vision du réseau domestique entier et avec un pare-feu ajouter une couche supplémentaire de sécurité.

EXEMPLES POUR PETITES STRUCTURES:

Netgear Prosafe G5105E

Commutateur Cisco Small Business

LoupeCliquez pour agrandir

Exemple de réseau domotique sécurisé avec pare-feu Cisco ASA5505

Segmenter le réseau avec 2 switchs (commutateurs) reliés en fonction de vos locaux et relié à votre routeur

• Switch "managable" Niveau 2 à paramètrer avec son interface de configuration,
• 5 ports Ethernet fournissant une bande passante bidirectionnelle jusqu’à 2000 Mbps,
• QoS (Qualité de Service) pour hiérarchiser le trafic réseau,
• Support VLAN (réseau local virtuel) pour la segmentation du réseau et la sécurité,
• Test de câble pour résoudre les problèmes de connexion,
• Port mirroring,
• Gestion de la bande passante pour éviter les congestions dans le réseaux,
• Surveillance du trafic réseau et maîtrise du débit,
• Broadcast storm control.

 

Exemple d'un réseau domotique plus sécurisé avec un pare-feu de couche 3-7 (Cisco Meraki ou Fortinet)


LoupeCliquez pour agrandir


LoupeCliquez pour agrandir

Les Périphériques qui communiquent dans un réseau de domicile peuvent être sur un réseau ségmenté pour des raisons de sécurité. Si le réseau n'est pas ségmenté (Vlan) et ne bénéficie pas d'une protection par pare-feu en cas d'ntrusion sur par ex les caméras en Wifi, il sera possible d'accéder aux autres automates; Portail, sérrures, volets ou interface de programmation. Voir l'attaque de TV5 monde

 

LE VDI - LE RJ45 ETHERNET, WIFI ET COURANT PORTEUR

Le terme VDI est utilisé pour nommer les réseaux de communication qui englobent la Téléphonie, Internet, le réseau informatique et Multimédia. Comme le réseau électrique, le CPL (courant porteur) est de plus en plus incorporé dans nos habitations comme le coaxial et l'Ethernet ainsi que sur les lieux de travail en "Full" Ethernet ave maintenant le Wireless over Ethernet.

Pour le VDI On parle de câblage Voix, Donnée, Image. L’évolution du pré-câblage VDI se situe au niveau des PME plus particulièrement le marché de moins de 50 prises. Ce marché est accessible aux petits Entrepreneurs car il ne nécessite pas de trop gros budget.


LoupeCliquez pour agrandir

 

Lire le VDI et le câblage Ethernet

Aujourd’hui, câbler un immeuble consiste à installer un ensemble :
- de câbles informatiques en courants faibles (BNC, RJ45)
- des relais Wireless reliés en répéteurs ou en Ponts via courant faible ou porteur
- et de câbles électriques ou courants forts (Boitiers CPL avec antenne Wifi ou connecteur RJ45)

Le câblage courants faibles RJ45 permet actuellement de transporter :
- la voix sur Ethernet (téléphonie),
- des données sur Ethernet (les réseaux locaux)
- et de la vidéo sur Ethernet (visioconférence, édition-diffusion d’images)
- Le Wireless sur Ethernet
- Le courant porteur sur Etnernet, etc.

Vous pouvez mettre 1 routeur pare-feux avec ports Ethernet, des commutateurs et des Access Point Wireless avec ports WoE

réseau domotique comme un réseau d'Entreprise avec le routeur du FAI, 2 pares feux-commutateur et 1 AP Wifi

Les paramètres consisteront à ségmenter le réseau entre Internet, les Serveurs, les PC, un accès VPN à autre site d'infrastructure (AS DS, Exchange, Partages, serveur web, SGBD) et un bridge WoE, le tout idéalement répartis par VLAN.


LoupeCliquez pour agrandir

 

LA MAISON DOMOTIQUE

Pour entrer dans la Maison, le visiteur doit d’abord passer par l’interphone. Outre la classique caméra permettant d'identifier qui se trouve devant la porte d’entrée (fonction vidéophone), l’appareil peut intègrer un lecteur d’empreintes digitales. Ce système d’identification biométrique peut gérer les empruntes de 100 personnes. L’interphone est relié au réseau téléphonique général de la maison et l’utilisateur peut y répondre depuis n’importe quelle pièce. Le combiné distant permet également d’allumer l’éclairage extérieur.(Fourni par Siedle)

La cuisine équipée d’écrans vidéo. Avec l’écran tactile, on peut regarder des chaînes de télévision ou de visionner un DVD, qui peut aussi être visionné dans une autre pièce, par exemple dans le salon (distribution vidéo multiroom). Cet écran fait ainsi office de centre de contrôle. Il permet aussi d’écouter un CD qui sera retransmis dans toute la maison intégralement sonorisée. Les enceintes étant, comme les écrans, installées dans les murs. (Equipement fourni par Vity)

ecran cuisine

Le centre de contrôle fonctionne sous Windows

il permet donc de visionner de la vidéo ou d’écouter de la musique dans la pièce où l’on se situe; l’utilisateur peut également paramétrer ce qui ce passe dans les autres pièces. L’application va gérer la température ou la lumière de chaque pièce, commander les stores motorisés des fenêtres. Un rapport rend compte des dépenses énergétiques et des optimisations possibles. Outre l’électroménager, le chauffage et l’éclairage, il signale par exemple les appareils qui restent en veille. Ce système intègre un navigateur internet pour faire ses courses en ligne depuis la cuisine, pratique...

Centre de contrôle

La salle de bain intègre un écran derrière les miroirs. Éteint, on ne le voit pas. Allumé, il apparaît en transparence et permet de regarder une vidéo depuis la baignoire. Comme les autres écrans de la maison, il est possible de visionner un DVD, des chaînes de télévision, d’accéder à internet ou au centre de contrôle général. Le tout est accessible depuis une télécommande.

réglage télécommande

Maison high-tech avec salle pour le home-cinéma. Iil s’agit la d’un ensemble Samsung équipé d'un écran le plus large en diagonal avec un ensemble son 5.1. L’écran permet également de retrouver le centre de contrôle général de la maison. La photo ici est un exemple qui date des années 2000.

Home cinéma

La maison domotique est gérée par un simple PC central vers lequel converge des informations récoltées par tous les appareils électriques de la maison. Ce réseau domestique est constitué d’un câblage conséquent avec 3 prises RJ45 par pièce pouvant être remplacé par du CPL pour y brancher, par exemple, son PC portable. L’utilisateur peut alors accéder au Net et aux services proposés via France Télécom en bas à droite de l’image. Avec autant de prises, l’utilisateur gagne en souplesse pour l’utilisation des lieux. La chambre peut rapidement devenir un bureau. Chaque prise RJ45 fournit également l’accès à la téléphonie et à la télévision (réseau VDI: voix-données-images). Le réseau téléphonique domestique permet de communiquer d’un combiné à un autre, mais offre également une fonction de surveillance: il est possible d’être appelé dans sa chambre par le téléphone proche de l’entrée s'il capte du bruit. Un système qui fait ausi office de babyphone.

Panneau de contrôle câblages

En plus des écrans vidéo, le centre de contrôle de la maison est accessible depuis la télécommande sans fil. Elle permet donc d’actionner les stores, lire le DVD ou de la musique, modifier l’éclairage, la température.

télécommande

Outre la gestion de l’accès à la maison, l’interphone intérieur permet de programmer des messages vocaux destinés aux autres occupants de la maison. L'utilisateur peut également créer un "scénario de départ", c'est-à-dire un programme qui va, par exemple, éteindre toutes les lumières et baisser la température à 18 degrés. Le lancement et la création de ce programme s’effectuent au moyen de l’écran tactile de l’interphone. L’appareil donne également la date et l’heure, ainsi que la température et la force du vent à l’extérieur.

centrale

 

GESTION DES AUTOMATISMES

Moteurs portail battant, volet roulant etc.
Moteur porte de garage et portails collectifs
Caméras de surveillance
Détecteur de mouvement
Chauffage et "home automation"

detecteur

De la télécommande de la TV aux vitres électriques de voitures, en passant par les programmateurs domestiques, chaque année de nouvelles technologies facilitent notre quotidien. Les automatismes jouent un rôle majeur pour offrir toujours plus de bien-être et de sécurité dans votre habitat. Leur mise en oeuvre nécessite au minimum l'apport d'une source électrique. Ils apportent incontestablement beaucoup de confort, de gain de temps, de sécurité et d'évolutivité. Les automatismes évoluent au rythme des progrés informatiques en nous offrant des nouvelles fonctions toujours plus performantes. Combinés et centralisés, les automatismes rendent votre maison intelligente et en cas de panne de courant ils doivent être débrayables.

Moteurs volet roulant, porte de garage

Les moteurs électriques peuvent actionner des volets roulants à usage domestique ou commercial. Qu'il s'agisse d'équiper une installation neuve ou d'en rénover une plus ancienne, la mise en place d'une commande électrique est simple. L'opérateur tubulaire (s'intègre dans un tube) n'ajoute que pas d'encombrement lorsqu'il s'adapte à divers types de volets roulants. Les performances des commandes électriques permettent d'actionner des poids trés importants ce qui les rendent tout à fait adaptés aux utilisations journalières. Sur le plan esthétique, la manivelle est supprimée. La manoeuvre électrique permet d'accroître la durée de vie d'un volet roulant : la souplesse et la régularité de fonctionnement du moteur réduisent considérablement les frottements et les à-coups nuisibles à l'ensemble du volet roulant. Chaque volet équipé d'un moteur est commandé individuellement par un inverseur ou un automatisme. D'un seul geste, on supprime toutes les tâches fastidieuses. Les inverseurs vous permettent d'actionner vos volets roulants à l'intérieur comme à l'extérieur de votre maison. Chaque opérateur peut être commandé individuellement. Un geste simple et rapide sur la commande générale permet de verrouiller toutes les ouvertures en même temps, et d'assurer la sécurité de l'entière habitation. Grâce à l'horloge, les volets roulants s'ouvrent et se ferment aux heures programmées. L'horloge permet aussi de simuler votre présence lorsque vous êtes en vacances. La commande radio vous apporte le confort et souvent une esthétique des plus recherchés.

La télécommande radio (Zigbee ou Z-Wave) est conçue pour commander à distance un store ou un volet roulant motorisé. Elle représente la solution pour s'affranchir de câble électrique entre le moteur et le point de commande. Pour la sécurité, la télécommande radio est dotée d'une fréquence spécifique qui évite toute interférence. L'inviolabilité de l'installation est renforcée par un code tournant infalsifiable. Les Smartphone proposent le même type de fonctionnalités avec des qualités d'interfaces aboutie. Pour davantage de confort, des télécommandes multicanaux permettent de piloter plusieurs stores et volets motorisés. Pour davantage de sécurité et de bien être, l'horloge programmable est la réponse idéale pour une installation complètement autonome. Elle lance des tâches pour permettre de fermer votre habitat automatiquement, en votre absence aux heures que vous aurez choisies. Vous pourrez réaliser en hiver de substantielles économies d'énergie en pilotant vos radiateurs à distance. La programmation hebdomadaire permet de gérer les volets en fonction des impératifs de chacun des jours de la semaine. Elle peut être modulée par 2 modes cosmiques et 1 mode sécurité : ces programmations prennent en considération un calendrier perpétuel pour accorder le mouvement des volets motorisés aux heures de lever et de coucher du soleil tout au long de l'année. Ainsi les contraintes de reprogrammation de l'horloge à chaque saison sont supprimées. En cas d'absence, le mode de sécurité permet de simuler une présence à l'intérieur de l'habitat par le mouvement des volets roulants. Pour ce faire, l'horloge exécute les ordres du mode hebdomadaire sur une plage de plus ou moins à l'heure autour de l'horaire programmée. L'horloge bénéficie d'une réserve de marche de 10 jours qui préserve sa mémoire en cas de coupure de courant. La centralisation : Elle permet de gérer en un point unique un ensemble de volets roulants motorisés. Pour réaliser une centralisation, il suffit de dédier à chaque volet un module de commande individuelle dont l'ensemble sera piloté par un module de commande générale. Le module de commande générale peut se substituer par une horloge programmable. La technologie radio dite "sans fil" s'est imposée par rapport à la technologie filaire : en effet l'absence de câbles électriques entre la commande ou le smartphone centralise le mise en oeuvre de scénarios "possibles". Plus rapide, le montage devient également plus économique. L'utilisateur peut à tout moment piloter le store à sa guise. La centrale vent soleil avec radio embarquée permet de s'affranchir des câbles électriques entre le moteur et le point de commande.

Il vous suffit de commander votre émetteur et votre porte de garage s'ouvre. Vous restez protégé contre la pluie et les intempéries. L'éclairage intégré s'éteint automatiquement au bout de 4 minutes. Les émetteurs ergonomiques sont disponibles en mini-format. L'émetteur multi-canaux permet d'ouvrir simultanément la grille d'entrée et l'éclairage de la cour. Si la porte heurte un obstacle, le système électrique de manoeuvre s'arrête automatiquement et la fait reculer afin de dégager l'obstacle. Pour une souplesse optimale, le démarrage et l'arrêt sont progressifs. La sécurité anti-intrusion est un obstacle supplémentaire à d'éventuels visiteurs. En cas de panne de courant un débrayage est prévu de l'intérieur et de l'extérieur. Le boîtier souvent en acier inoxydable ne nécessite pas d'entretien. Econome en énergie, la motorisation est un concentré de technologie.

Ouvrir et fermer son portail est devenu pour chacun une tâche ou une servitude quotidienne. Cela devient une réelle corvée lorsqu'il pleut ou dans l'obscurité totale. L'automatisme de portail permet un accés rapide à l'intérieur de votre propriété, sans géner les autres automobilistes, tout en restant à l'abri des intempéries. Le choix d'une motorisation pour portail battant est conditionné par : la position des gonds du portail sur les piliers, la dimension des piliers, l'espace utile derrière les piliers, l'angle d'ouverture des vantaux, la fréquence d'utilisation (cycles par jour) et les caractéristiques du portail : ces paramètres définissent un profil de motorisation : la motorisation à bras articulé, le vérin ou la motorisation enterrée ; Le moteur enterré est la solution technique et esthétique : elle convient dans presque tous les cas de figure et présente l'avantage d'être invisible. Néanmoins elle nécessite un peu de terrassement, de la maçonnerie et un drainage des eaux pluviales. L'ouverture des vantaux peut se faire à 180°. Le moteur enterré s'adresse à tous les types de portails. Le vérin électromécanique ou hydraulique est une motorisation qui se démarque par son caractère économique. Trés apprécié pour son faible encombrement, il présente l'avantage d'être trés compact. Le vérin hydraulique nécessite un peu plus d'entretien que le vérin électromécanique car il faut changer les joints et rajouter de l'huile régulièrement. Par sa cinématique et sa puissance, le vérin s'adresse aux portails de bonne fabrication, fonctionnant manuellement sans effort et dotés d'une ossature en aluminium ou en acier. La motorisation à bielles apporte une grande souplesse de fonctionnement au portail : sa cinématique reproduit le mouvement du bras humain. Pas de chocs ni d'efforts anormaux, le portail travaille en parfaite harmonie avec le moteur. Il allie à la fois l'esthétique, la solidité, la puissance et la performance tout en restant parfaitement silencieux. La motorisation à bielles s'adresse à tous les types de portails.

Sa simplicité, sa robustesse, et sa puissance sont les atouts de ce type de motorisation. Le mouvement linéaire assure une grande fiabilité de fonctionnement et une durée de vie accrue au portail coulissant. La transmission du mouvement s'effectue par pignon et crémaillère. Un limiteur de couple intégré confère une grande sécurité d'utilisation. La condamnation du portail est assurée par le moteur. En cas de panne de courant une clé personnalisée permet de le déverrouiller de l'intérieur ou de l'extérieur. La motorisation de coulissant s'adresse à tous les types de portails à mouvement linéaire. Il convient parfaitement aux modêles lourds et longs.

Motorisation de portes, portails collectifs et volets battants

Un large éventail de solutions permet de contrôler efficacement les accès d'une résidence privée, de l'enceinte d'une entreprise, ou de parkings ; motorisation à bielles, vérin apparent, motorisation enterrée, barrière levante, borne escamotable, convoyeur, moteur en bout d'axe. L'installation de ces produits s'inscrit généralement dans la norme NFP-25-362 qui s'applique pour tout systême de fermeture automatique. La conformité à cette norme exige la mise en place de sécurités : barrages de cellules, une tranche de sécurité, un feu clignotant, un éclairage de zone, un coffret pompier, un marquage au sol, une armoire avec logique intégrée agréée. Les applications sont diverses : portail battant en 2 vantaux jusqu'à 6 mètres de large, portail coulissant toute taille, porte de parking toute taille.

L'actionneur électrique pour volet battant se commande de l'intérieur par simple impulsion depuis un bouton. Il ouvre, ferme, entrebâille et bloque les volets en toutes positions : il est désormais inutile d'ouvrir la fenêtre, de se pencher, ou d'actionner les arrêts marseillais. En cas de panne de courant, un débrayage des bras permet la manoeuvre des volets à la main. L'actionneur se place à l'extérieur sous le linteau. Un bras à glissière permet l'ouverture ou la fermeture du volet. La faible épaisseur de l'actionneur, rend le mécanisme pratiquement invisible tout en conservant intact l'aspect du volet. L'actionneur motorise les volets à 1,2,3 ou 4 vantaux et peut s'installer de différentes façons ; sous le linteau, en appui sur le garde-corps ou sur l'appui de fenêtre. Avec des limiteurs d'effort intégrés, le dispositif ne peut pas se détériorer, fabriqué en aluminium de forte épaisseur et dûment testé, l'actionneur est à même de résister aux manoeuvres et aux intempéries pendant plusieurs années. L'actionneur est compatible avec différents automatismes ; télécommande radio, horloge programmable, commande centralisée. Le moteur de type motorisation pour stores et volets reprend une technique largement éprouvée depuis plusieurs années.

Plusieurs solutions logicielles, propriétaires ou libres

Voir le blog domadoo

Jeedom: La solution domotique Open Source

Edisio

Atera solution RMM de "Surveillance et gestion à distance"

Eedomus

Hager

Hager domovea et Calaos

homidom.com sur github.com. Interface gratuite en libre pour ceux qui s'y connaissent un peu intègre Ajax.

Jeedom: La solution domotique Open Source

Conseils pour débuter en domotique. Il y a 3 points à respecter impérativement:
- Préférez une solution libre ou open source,
- Utilisez du matériel "normalisé" (ne pas confondre avec propriétaire) compatibles avec la plupart des protocoles de transports de données; EoIP, PoE, WoE, VoIP...
- Virtualiser votre serveur de données avec le base de scénarios. Cela vous permettra de basculer très rapidement en cas de défaillance sur une nouvelle installation !

Conseils pour bien débuter

Bien connecter vos câbles pour configurer iOS

Lire: Configuration d'un catalyst Cisco IOS

Première utilisation d'un switch (commutateur)

Very interresting ;-) how create a home network for "smart house"

Recupérer la sauvegarde de la configuration d'un switch ou flasher l'iOS

Utiliser TFTP serveur

Infrastructure de routage et commutation + Wireless Linksys WRT300N

Installation du pare-feux Fortinet

 

UNE ALTERNATIVE ANONYME, L'UTILISATION DE DYNDNS

DYNDNS payant avec choix du nom de domaine est très pratique car il vous "déleste" du Service de Nom de domaine DNS.
Ce qui est loin d'être négligeable pour éviter les noms de domaines indésirables et malveillant en utilisant le langage naturel
si vous reliez OpenDNS à l'aide de quelques lignes de script sur l'API de DDNS, vous évitant les DDoS ou déni de service distribué :

OpenDNS détecte les DNS malveillants avec le langage naturel

Cependant des connnaissances des subtilités de la sécurité du réseau (pare-feux layer 7, filtrage de ports, VLAN, VPN et ACL) sont indispensables.
Ainsi que la supervision ou la résolution des incidents si vos VLAN's se mettent à broadcaster de manière anormale.

DynDNS

- Automatiser les températures d'un chauffage avec accès au thermostat à distance et réglage via une interface logicielles accessible par Internet,
- Faire de la surveillance vidéo avec accès à une interface permettant de surveiller plusieurs résidences simultanément,
- Proposer un service (avec matériel compris) pour automatiser le changement de DVD ou disques durs avec grande capacité de stockage, 
- de stocker des données (datas archivage de données sensibles) via un logiciel de sauvegarde avec un accès via FTP pour les clients qui le désirent.

Acces à distance pour périphérique tels que : PC,  stockage de données,  webcam,  cctv,  imprimantes,  alarmes, surveillance et securité,  thermostat,  station météo,  serveur de jeux,  automatismes pour la maison, programmation d’alertes, etc.

Dans ce monde, rien n’est certain, sauf la mort et les impôts !
"B.Franklin"

 

1foplus-2021

Information contact

SVP entrez votre nom (qui ne sera pas publié)



Entrez votre téléphone



SVP entrez votre Email




1foplus-2021