| Scroll Ignore | ||||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
| ||||||||||||||
|
Contexte
Afin de superviser une machine Windows, le pack windows-by-WinRM propose un modèle les modèles d'hôte suivants :
- windows-by-WinRM permet la supervision d'un linux hôte Windows pour une vérification des fonctions principales ( CPU, disques, RAM, interfaces réseaux réseau ... ).
- windows-by-WinRM__extra qui permet une supervision plus personnalisée de l'hôte ( Surveillance surveillance de fichiers ).
| Info |
|---|
Afin de s'adapter aux besoins précis, il est possible de directement modifier les modèles suivants :
Ceux-ci héritent des modèles suivants :
Ils contiennent toute la logique du pack.
|
Liste des modèles d'hôte pour windows-by-WinRM__shinken
| Nom | Lien | ||
|---|---|---|---|
| NEW-PAGE - SPAC-27 - Modèle windows-by-WinRM | ||
| NEW-PAGE - SPAC-27 - Modèle windows-by-WinRM__extra |
Modes d'authentification
Le pack windows-by-winrm__shinken offre les modes d'authentifications suivants :
- basic
- negotiate
basic
L'authentification basic utilise un nom d'utilisateur et un mot de passe. Ces derniers sont envoyés en clair sur le réseau, l'ensemble des échanges ne sont pas chiffrés.
Afin de protéger ces échanges réseaux clair, il est possible d'utiliser HTTPS pour chiffrer la communication.
negotiate
negotiate n'est pas un mode d'authentification, mais un protocole de négociation de support d'authentification.
Le polleur et l'hôte supervisée vont se mettre d'accord en entamant une connexion sur quelle méthode d'authentification choisir.
En premier lieu Kerberos va être priorisé car il est plus sécurisé, puis si cela échoue NTLM sera utilisé.
NTLM
NTLM nécessite un nom d'utilisateur et un mot de passe. NTLM est Il est activé par défaut sur les serveurs windows.
Ce protocole n'est plus recommandé par Microsoft depuis 2010, et une faille critique permettant de craquer les hashs des mots de passes passe observés sur le réseau a été publié publiée en 2024 ( NTLM V2 ).
NTLM repose sur un échange d'authentification chiffré.
| Note | ||
|---|---|---|
| ||
L'utilisation de NTLM nécessite le packet paquet gssntlmssp sur le pollerPoller. La connexion NTLM échoue sous centos-CentOs 7. |
Kerberos
L'authentification Kerberos nécessite une connection connexion à l'hôte supervisée supervisé en utilisant :
- un nom DNS,
- un domaine Active Directory (Windows),
- un nom d'utilisateur,
- et un mot de passe.
Ce protocole est recommandé et utilisé par windows par défault depuis windows défaut sur Windows depuis Windows 2000.
Kerberos offre une communication chiffrée basée sur des tickets d’authentification temporaires émis par le contrôleur de domaine.
| Méthode | Nom d'utilisateur requis | Mot de passe requis | Domaine requis | Connexion via IP | Chiffrement | Support natif Windows | Remarques |
|---|---|---|---|---|---|---|---|
| NTLM | ✅ | ✅ | ❌ (optionnel) | ✅ | ✅ (NTLMv2) | ✅ | Activé par défaut. Non recommandé depuis 2010. Faille critique en 2024. |
| Kerberos | ✅ | ✅ | ✅ (obligatoire) | ❌ (DNS requis) | ✅ (tickets) | ✅ | Recommandé. Nécessite nom DNS, domaine AD, synchronisation horaire. |
| Basic (HTTP Auth) | ✅ | ✅ | ❌ | ✅ | ❌ (données en clair) | ✅ | Très risqué sans HTTPS. À éviter sauf si encapsulé dans TLS. |
| Certificat (HTTPS) | ❌ (certificat utilisé) | ❌ | ❌ | ✅ | ✅ (SSL/TLS) | ❌ (configuration manuelle) | Très sécurisé. Demande gestion des certificats et d'une autorité de confiance. |