| Scroll Ignore | ||||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
| ||||||||||||||
|
Contexte
Afin de superviser une machine Windows, le pack windows-by-WinRM__shinken propose les modèles d'hôte suivants :
- windows-by-WinRM permet la supervision d'un hôte Windows pour une vérification des fonctions principales ( CPU, disques, RAM, interfaces réseau ... ).
- windows-by-WinRM__advanced qui permet une supervision plus avancée de l'hôte ( Statistiques d'utilisation… ).
- windows-by-WinRM__extraqui permet une supervision plus personnalisée de l'hôte ( Surveillance de processus, surveillance de fichiers ).
| Info |
|---|
Afin de s'adapter aux besoins précis, il est possible de directement modifier les modèles suivants :
Ceux-ci héritent des modèles suivants :
Ils contiennent toute la logique du pack.
|
Liste des modèles d'hôte
pour windows-by-WinRM__shinken| Nom | Lien | ||
|---|---|---|---|
| NEWModèle windows-PAGE - SPAC-27 - by-WinRM | ||
| Modèle windows-by-WinRM__advanced | ||
| NEW-PAGE - SPAC-27 - Modèle windows-by-WinRM__extra |
Modes d'authentification
Le pack windows-by-WinRM__shinkenoffre les modes d'authentifications suivants :
- negotiatentlm
- basicntlm-over-ip
Le mode d'authentification peut être changé en modifiant la donnée "WINDOWS-_BY-_WINRM__AUTHMETHOD", accroché sur les modèles d'hôtes.
negotiateNTLM
negotiate est un protocole de négociation d'authentification. Il va permettre au poller et à la machine supervisée de choisir le mode d'authentification le plus sécurisé disponible.En premier lieu Kerberos va être priorisé, car il est plus sécurisé, puis si cela échoue, NTLMsera utilisé.
NTLM
NTLM est le mode d'authentification de Windows par défaut pour les ordinateurs configurés en Groupe de Travail ( lorsqu'ils ne sont pas configurés en domaine ).
NTLM NTLM nécessite un nom d'utilisateur et un mot de passe. Il est activé par défaut sur les serveurs Windows.
Deux versions de NTLM existent :
- NTLMv1 : déprécié par Microsoft depuis 2010.
- NTLMv2 : Installé et configuré par défaut sur Windows, il est largement utilisé. Déprécié depuis 2024.
Toutes les versions de NTLM sont désormais dépréciés depuis juin 2024 : https://learn.microsoft.com/en-us/windows/whats-new/deprecated-features.
NTLM repose sur un échange d'authentification chiffré. Le reste des données échangé ne sont pas chiffrésLe protocole NTLM utilisé chiffre ses échanges.
Les principales fragilités de NTLM sont :
- Pas d'authentification mutuelle. Les "attaques par relais" "Man-in-the-Middle" sont possibles
- .
- Les hashs échangés utilisés comme moyen d'authentification sont fragiles.
Ces problèmes sont réglés par l'utilisation de HTTPS, et d'une vérification stricte des certificats.
Basic
| icon | false |
|---|
L'
utilisation de NTLM nécessite le paquet gssntlmssp sur le Poller.La connexion NTLM échoue sous CentOs 7.
Kerberos
authentification basic utilise un nom d'utilisateur et un mot de passe. Ces derniers sont envoyés en clair sur le réseau, l'ensemble des échanges ne sont pas chiffrés.
Ce protocole n'offre pas de réelle sécurité sans être couplé à HTTPS.
Kerberos ( non disponible )
Kerberos est le mode d'authentification de Windows par défaut pour les ordinateurs configurés en domaine ou Active Directory ( lorsqu'ils ne sont pas configurés en groupe de travail ).
L'authentification Kerberos nécessite une connexion à l'hôte supervisé en utilisant :
- un nom DNS,
- un domaine Active Directory (Windows),
- un nom d'utilisateur,
- et un mot de passe.
Ce protocole est recommandé et utilisé par défaut sur Windows depuis Windows 2000 sur les postes au sein d'un domaine Active Directory.
Kerberos offre une communication chiffrée basée sur des tickets d’authentification temporaires émis par le contrôleur de domaine.
C'est la méthode d'authentification recommandée, car la plus sécurisée.
basic
L'authentification basic utilise un nom d'utilisateur et un mot de passe. Ces derniers sont envoyés en clair sur le réseau, l'ensemble des échanges ne sont pas chiffrés.
Ce protocole n'offre pas de réelle sécurité sans être couplé à HTTPS.
ntlm-over-ip
Cette méthode d'authentification le mode "negotiate", mais force l'utilisation de l'authentification par NTLM.
Pour forcer le protocole NTLM, la sonde va résoudre le nom de l'hôte en adresse IP, puis essayer de s'authentifier. Comme Kerberos ne peut pas être choisi comme méthode d'authentification lorsque la communication se passe par ip, alors NTLM est forcé.
| Note | ||
|---|---|---|
| ||
| Ce mode Kerberos n'est pas conseillé en production, mais peut être utile pour déboguer l'authentificationimplémenté dans la sonde pour le moment. |
Résumé
| Méthode | Authentification Mutuelle | Confidentialité | Intégrité | Implémenté dans la sonde |
|---|---|---|---|---|
| Basic | ❌ | ❌ | ❌ | ✅ |
| NTLM (via negotiate) | ❌ | ❌ ( Uniquement l'authentification est chiffrée. Les données échangées par les sondes sont envoyées en clair sur le réseau ) | ❌ | ✅ |
| ❌ | ❌ ( Uniquement l'authentification est chiffrée. Les données échangées par les sondes sont envoyées en clair sur le réseau ) | ❌ | ✅ | |
| Kerberos ( via negotiate ) | ✅ | ✅ | ✅ | ❌ |
| Basic + HTTPS | ✅ | ✅ | ✅ | ❌ |
| NTLM (negotiate) + HTTPS | ✅ | ✅ | ✅ | ❌ |
| Kerberos + HTTPS | ✅ | ✅ | ✅ | ❌ |
Sécurité supplémentaire
HTTPS ( non disponible )
Le protocole HTTPS peut être utilisé via WinRM. Il permet de rajouter la sécurité nécessaire à l'authentification basic et NTLM ( negotiate ).
| Note | ||
|---|---|---|
| ||
Le protocole HTTPS n'est, pour le moment, pas implémenté dans la sonde. Il le sera prochainement. En attendant, il est recommandé d'utiliser negotiate ntlm. |