Page History

Contexte

Cette page a pour but de décrire la mise en place d'une configuration minimale nécessaire pour un Windows dans un domaine ( Active Directory ) supervisé par le pack windows-by-WinRM__shinken.

Configuration de WinRM pour domaine ( Active Directory )

L'entièreté de la configuration de vos machines Windows se fera depuis une seule machine, votre contrôleur de domaine.

Autant que possible, la configuration sera définit avec des GPO ( Global Policy Object ) et sera déployé automatiquement à l'ensemble des machines voulus.

Configuration depuis l'Active Directory

La première étape est d'organiser votre Active Directory avec des UO ( Unité d'organisation ) pour shinken. Ces UO vont regrouper de nouveaux groupes, utilisateurs de supervisions, serveurs et contrôleurs de domaine.

• Ouvrir "Utilisateurs et ordinateurs Active directory" ( dsa.msc )

Organiser ses machines par UO

Organiser ses serveurs et postes de travail par UO

• Cliquer sur son domaine
• Repérer dans quels dossiers sont les ordinateurs à superviser.

• Si tous les serveurs sont dans le dossier "Computers", il est nécessaire de les déplacer dans un nouveau dossier UO. Le dossier "Computers", présent par défaut, ne permet pas d'appliquer des GPOs ou de créer de sous-dossiers.

  Panel

  • Clic-Droit sur le nom de domaine, Sélectionner "Nouveau" > "Unité d'organisation" et lui donner un nom tel que "Serveurs".
  • Se déplacer dans le dossier "Computers", sélectionner et déplacer les ordinateurs dans la nouvelle UO créée.

• Pour chacun des UO où sont vos serveurs à superviser, créer un UO et nommer le par exemple "Shinken supervised server".
• Déplacer les serveurs dans la nouvelle UO.

  • Panel

Organiser ses contrôleurs de domaine par UO

Il est également possible de superviser ses contrôleurs de domaine. Pour cela, il faut tout comme les autres serveurs tout d'abord les ranger dans une UO.

• Dans le dossier "Domain Controllers", Clic-Droit, Sélectionner "Nouveau" > "Unité d'organisation" et nommer le par exemple "Shinken supervised server".
• Déplacer les contrôleurs de domaine dans la nouvelle UO.

• Panel

Créer ses utilisateurs de supervision Shinken

Créer une UO pour les utilisateurs

• Cliquer sur son domaine
• Repérer dans quels dossiers sont les utilisateurs.
• Si tous les utilisateurs sont dans le dossier "Users", il est nécessaire de créer un nouveau dossier UO. Le dossier "Users", présent par défaut, ne permet pas d'appliquer des GPOs ou de créer de sous-dossiers.
  • Clic-Droit sur le nom de domaine, Sélectionner "Nouveau" > "Unité d'organisation" et lui donner un nom tel que "Utilisateurs".

  • Panel

• Dans cette UO où sont tous les utilisateurs, créer un UO où seront les utilisateurs et groupes de supervision shinken, nommer là par exemple "Shinken supervision users".

• Panel

Créer un ou plusieurs utilisateurs de supervision

• Dans la nouvelle UO pour utilisateurs shinken de supervision, Clic-Droit, Sélectionner "Nouveau" > "Utilisateur"
• Remplir :
  • "Nom complet"
  • "Nom d'ouverture de session de l'utilisateur"

  • Panel

• Sur la page suivante :
  • Remplir le mot de passe
  • Décocher "L'utilisateur doit changer le mot de passe à la prochaine ouverture de session"
  • Cocher "L'utilisateur ne peut pas changer de mot de passe"

  • Panel

• Finaliser ensuite la création de l'utilisateur.

OPTIONNELLEMENT, vous pouvez créer plusieurs utilisateurs de supervision en répétant l'étape précedente, et restreindre aux serveurs seléctionnés chaque utilisateur.

• Clic-Droit sur un utilisateur de supervision shinken puis cliquer sur "Propriétés"
• Dans l'onglet "Compte", cliquer sur "Se connecter à..."
• Une nouvelle fenêtre s'ouvre, Cliquer sur "Les ordinateurs suivants" et remplir la liste d'ordinateurs auquel l'utilisateur a le droit de se connecter ( parmi ceux qui seront configurés pour WinRM, dans les UOs précédentes ).

• Panel

  
  

  
  

Créer un groupe de supervision

Dans la nouvelle UO pour utilisateurs shinken de supervision, Clic-Droit, Sélectionner "Nouveau" > "Groupe"

• Remplir le "Nom de groupe", avec par exemple "GRP_SHINKEN".
• Garder la propriété "Globale" cochée.
  • Elle permet de définir la visibilité du nouveau groupe au sein d'un ou plusieurs domaines.
  • "Domaine locale" limite l'utilisation du groupe au domaine actuel.
  • "Globale" limite l'utilisation du groupe au domaine actuel, et aux autres domaines s'ils sont approuvés.
  • "Universelle" autorise l'utilisation du groupe dans tous les domaines de la forêt.
• Garder la propriété "Sécurité" cochée.

• Panel

• Ensuite, pour chaque utilisateur de supervision crée, Clic-Droit puis "Ajouter à un groupe"
• Remplir le nom du groupe de supervision ( GRP_SHINKEN )
• Cliquer sur "Vérifier les noms" puis valider.

• Panel

Configurer des permissions pour le contrôleur de domaine

La configuration du groupe pour le contrôleur de domaine se fait dans le même outil : "Utilisateurs et ordinateurs Active Directory" :

• Dans l'arborescence de votre domaine, sélectionner "Builtin"
• Clic-Droit sur le groupe "Utilisateur de gestion à distance", puis "Propriétés".
• Dans l'onglet "Membres", Cliquer sur "Ajouter..."
• Remplir le nom du groupe de supervision shinken ( GRP_SHINKEN ) et valider.
• Répéter l'opération pour le groupe "Utilisateur de l'Analyseur de performance".

• Panel

Configuration par GPO

La seconde étape est de créer une GPO ( Global Policy Object ), l'appliquer aux serveurs windows à superviser puis la configuer.

• Ouvrir "Gestion de stratégie de groupe" ( gpmc.msc )

Créer une GPO

• Dans l'arborescence, Clic-Gauche sur votre "Forêt: DOMAINE" > "Domaines" > "DOMAINE" > "Objets de stratégie de groupe"

• Panel

• Clic-Droit sur "Objets de stratégie de groupe" > "Nouveau" puis nommer la nouvelle GPO avec, par exemple, "Shinken - windows-by-WinRM"
• Une fois crée, Cliquer-Glisser votre GPO dans les UOs de vos serveurs à superviser précédemment créés.
  • La liste des liaisons s'affiche à droite de la fenêtre lorsque la GPO est sélectionnée.

  • Panel

Configuration de la GPO

Une fois créé et lié aux Windows à superviser, il faut configurer la GPO. C'est-à-dire lui accrocher des règles qui modifieront la configuration des ordinateurs liés

• Clic-Droit sur la nouvelle GPO, puis "Modifier"
• Les règles à appliquer se trouvent dans cette arborescente de configuration.

Configuration de WSM

Activer la gestion à distance WSM ( WS-Management ) est essentiel pour la connexion à distance et la collecte d'information pour WinRM.

• Dans l'arborescence : "Configuration ordinateur" > "Stratégies" > "Paramètres Windows" > "Paramètres de sécurité" > "Services système" > "Gestion à distance Windows (Gestion WSM)"

• Panel

• Double-Clic, Une nouvelle fenêtre s'ouvre.
  • Cocher "Définir ce paramètre de stratégie"
  • Cocher "Automatique"

  • Panel

Configuration de WinRM

Dans cette section, il faudra activer le démarrage automatique de WinRM et configurer le mode d'authentification.

• Dans l'arborescence : "Configuration ordinateur" > "Stratégies" > "Modèle d'administration : définition de stratégies" > "Composants Windows" > "Gestion à distance Windows (WinRM)" > "Service WinRM"

• Panel

• Double-Clic sur "Autoriser la gestion de serveurs à distance via WinRM", une nouvelle fenêtre s'ouvre
  • Cocher "Activer"
  • Remplir la zone "Filtre IPv4" avec : *
  • Remplir la zone "Filtre IPv6" avec : *

  • Note
    Attention il est impératif de remplir ces zones de "Filtres IP". Sans cela le service WinRM n'écoutera sur AUCUNE interface réseau et ne RÉPONDERA PAS.

  • Info
    Une fois votre configuration terminée et la sonde fonctionnelle, vous pourrez changer ce masque réseau afin de limiter l'accès à WinRM selon l'IP.

  • Panel

Configurer l'authentification NTLM

• Double-Clic sur "Ne pas autoriser l'authentification par négociation", une nouvelle fenêtre s'ouvre.
• Cocher "Désactivé", puis valider.

• Panel

• Double-Clic sur "Autoriser le trafic non chiffré", une nouvelle fenêtre s'ouvre.
• Cocher "Désactivé", puis valider.

• Panel

Résumé de la configuration NTLM:

Configurer l'authentification Basic

• Double-Clic sur "Autoriser l'authentification de base", une nouvelle fenêtre s'ouvre.
• Cocher "Désactivé", puis valider.

• Panel

• Double-Clic sur "Autoriser le trafic non chiffré", une nouvelle fenêtre s'ouvre.
• Cocher "Activé", puis valider.

• Panel

Résumé de la configuration Basic :

Configuration du Pare-Feu

Dans cette section, il faudra ajouter au Pare-Feu une règle pour autoriser le trafic WinRM.

• Dans l'arborescence : "Configuration ordinateur" > "Stratégies" > "Paramètres Windows" > "Paramètres de sécurité" > "Pare-feu Windows Defender avec fonctions avancées de sécurité" > "Règles de trafic entrant"
• Clic-Droit, "Nouvelle Règle", une nouvelle fenêtre s'ouvre

• Panel

  
  

  • Cocher "Port"

  • Panel

  • Sur la page suivante :
  • Cocher "TCP"
  • Cocher "Ports locaux spécifiques", et remplissez "5985"

  • Panel

  • Sur la page suivante :
  • Cocher "Autoriser la connexion"

  • Panel

  • Sur la page suivante :
  • Sélectionner les types d'interfaces réseau à exposer. 

  • Panel

  • Sur la page suivante :
  • Nommer la règle avec, par exemple, "WinRM (HTTP-In)"

  • Panel

Configuration PowerShell

Dans cette section, il faudra configurer la politique d'exécution de PowerShell afin de pouvoir exécuter des scripts.

• Dans l'arborescence : "Configuration ordinateur" > "Stratégies" > "Modèle d'administration : définition de stratégies" > "Composants Windows" > "Windows Powershell"

• Panel

• Double-Clic sur "Activer l'exécution des scripts", une nouvelle fenêtre s'ouvre
• Sélectionner "Activé"
• Clic sur "Stratégie d'exécution", puis sélectionné "Autoriser tous les scripts"

• Panel

Configuration de Windows Time ( OPTIONNEL )

Nécessaire au fonctionnement du check "Ntp Sync by WinRM", si le temps de votre machine est géré par Windows Time ( W32Time ), il est nécessaire de donner les permissions suivantes :

• Dans l'arborescence : "Configuration ordinateur" > "Stratégies" > "Paramètres Windows" > "Paramètres de sécurité" > "Services système" > "Temps Windows"

• Panel

• Double-Clic, Une nouvelle fenêtre s'ouvre.
  • Cocher "Définir ce paramètre de stratégie"
  • Cocher "Automatique"

  • Panel

• Cliquer ensuite sur "Modifier la sécurité...", une nouvelle fenêtre s'ouvre.

  • Cliquer sur ajouter
  • Remplir le nom du groupe de supervision shinken ( GRP_SHINKEN )
  • Vérifier le nom et confirmer

  • Panel

• Une fois le groupe ajouté, le sélectionner :
  • Cocher "Autoriser" / "Lecture"
  • Décocher "Autoriser" / "Démarrage, arrêt et pause"

  • Panel

Configuration par Script et GPO

La dernière étape de la configuration est d'accrocher deux scripts à une nouvelle GPO qui va déployer ces scripts et les exécuter aux prochains démarrages de vos machines.

Ces deux scripts vont configurer les permissions WinRM et l'accès aux objets WMI / CIM essentiel à la supervision de vos serveurs Windows.

• Ouvrir "Gestion de stratégie de groupe" ( gpmc.msc )

Créer une GPO

• Dans l'arborescence, Clic-Gauche sur votre "Forêt: DOMAINE" > "Domaines" > "DOMAINE" > "Objets de stratégie de groupe"
• Clic-Droit sur "Objets de stratégie de groupe" > "Nouveau" puis nommer la nouvelle GPO avec, par exemple, "Shinken - windows-by-WinRM Permissions Script"
• Une fois crée, Cliquer-Glisser votre GPO dans les UOs de vos serveurs à superviser précédemment créés, aux mêmes endroits où est lié la précédente GPO.
  • La liste des liaisons s'affiche à droite de la fenêtre lorsque la GPO est sélectionnée.

  • Panel

Configuration de la GPO

Une fois créé et lié aux Windows à superviser, il faut configurer la GPO. 

• Clic-Droit sur la nouvelle GPO, puis "Modifier"
• Les règles à appliquer se trouvent dans cette arborescente de configuration.

Téléchargement des scripts

Tout d'abord, télécharger les scripts ci-dessous sur votre contrôleur de domaine.

Ces scripts se retrouvent aussi dans le dossier "supervised-host" du pack livré.

Accrocher les scripts

• Dans l'arborescence : "Configuration ordinateur" > "Stratégies" > "Paramètres Windows" > "Scripts (démarrage/arrêt)"
• Double-Clic sur "Démarrage", une nouvelle fenêtre s'ouvre

• Panel

• Dans la nouvelle fenêtre, aller dans l'onglet "Scripts PowerShell"
• Clic sur "Afficher les fichiers...".

  • Panel

  • Une nouvelle fenêtre s'ouvre. Dans ce dossier ( ... > Machine > Scripts > Startup ), déposer les scripts téléchargés précédemment.

  • Panel

  • Fermer le dossier.
• Toujours dans l'onglet "Scripts PowerShell", cliquer sur "Ajouter"
  • Une nouvelle fenêtre s'ouvre pour ajouter un script.
  • Cliquer sur parcourir et ajouter le 1er script : "AddSecurityPrincipalonDefaultWinRMSDDL.ps1", dans le dossier préselectionné présélectionné ( ... > Machine > Scripts > Startup )
  • Dans la zone "Paramètre de scripts", remplissez :

    • -user "MON_DOMAINE\GRP_SHINKEN" -Force

    • Info
      Ici, remplacez "MON_DOMAINE" par le nom de votre domaine.

  • Répéter l'opération avec le 2ème 2ᵉ script : "Set-WMINameSpaceSecurity.ps1", dans le dossier préselectionné présélectionné ( ... > Machine > Scripts > Startup )
  • Dans la zone "Paramètre de scripts", remplissez les mêmes paramètres :

    • -user "MON_DOMAINE\GRP_SHINKEN" -Force

    • Info
      Ici, remplacez "MON_DOMAINE" par le nom de votre domaine.

L'entièreté de la configuration de votre parc Windows se fera depuis une seule machine, votre contrôleur de domaine.

Autant que possible, la configuration devra être déployée par GPO ( Global Policy Object ), sinon par script à usage unique.

Voici les étapes auxquelles un déploiement par GPO est possible :

• Activer le démarrage de WinRM.
• Installer la langue Anglaise ( Etats-Unis ).
• Créer un utilisateur de domaine, et l'ajouter dans des groupes locaux nécessaires.
• Configurer la langue du nouvel utilisateur de supervision.
• Configurer WinRM pour l'authentification Basic ou Negotiate, puis HTTP.
• Configurer l'utilisateur de supervision pour récupérer les informations de W32Time, le service NTP de Windows.

Ensuite, il sera nécessaire d'appliquer les configurations suivantes avec un script à utilisation unique.

• Configurer l'utilisateur de supervision pour exécuter des commandes WinRM.
• Configurer l'utilisateur de supervision pour récupérer les informations WMI/CIM root\cimv2.
• Configurer l'utilisateur de supervision pour récupérer les informations WMI/CIM root\standardcimv2.

Configuration des permissions

Permissions WinRM

Autorisation aux objets WMI/CIM