View Source

Contexte

Afin de superviser une machine Windows, le pack windows-by-WinRM propose les modèles d'hôte suivants :

windows-by-WinRM permet la supervision d'un hôte Windows pour une vérification des fonctions principales ( CPU, disques, RAM, interfaces réseau ... ).
windows-by-WinRM__extra qui permet une supervision plus personnalisée de l'hôte ( surveillance de fichiers ).

Afin de s'adapter aux besoins précis, il est possible de directement modifier les modèles suivants :

windows-by-WinRM
windows-by-WinRM__extra

Ceux-ci héritent des modèles suivants :

windows-by-WinRM__shinken
windows-by-WinRM__extra__shinken

Ils contiennent toute la logique du pack.

Ces modèles internes ( finissant par la particule « __shinken » ) ne doivent pas être modifiés.
- Les modifications risquent d'être écrasées lors de prochaines mises à jour du pack.

Liste des modèles d'hôte pour windows-by-WinRM__shinken

Nom

Lien

windows-by-WinRM

NEW-PAGE - SPAC-27 - Modèle windows-by-WinRM

windows-by-WinRM__extra

NEW-PAGE - SPAC-27 - Modèle windows-by-WinRM__extra

Modes d'authentification

Le pack windows-by-winrm__shinken offre les modes d'authentifications suivants :

basic
negotiate

basic

L'authentification basic utilise un nom d'utilisateur et un mot de passe. Ces derniers sont envoyés en clair sur le réseau, l'ensemble des échanges ne sont pas chiffrés.

Afin de protéger ces échanges réseaux clair, il est possible d'utiliser HTTPS pour chiffrer la communication.

negotiate

negotiate n'est pas un mode d'authentification, mais un protocole de négociation de support d'authentification.

Le polleur et l'hôte supervisée vont se mettre d'accord en entamant une connexion sur quelle méthode d'authentification choisir.
En premier lieu Kerberos va être priorisé car il est plus sécurisé, puis si cela échoue NTLM sera utilisé.

NTLM

NTLM nécessite un nom d'utilisateur et un mot de passe. Il est activé par défaut sur les serveurs windows.

Ce protocole n'est plus recommandé par Microsoft depuis 2010, et une faille critique permettant de craquer les hashs des mots de passe observés sur le réseau a été publiée en 2024 ( NTLM V2 ).

NTLM repose sur un échange d'authentification chiffré.

L'utilisation de NTLM nécessite le paquet gssntlmssp sur le Poller.

La connexion NTLM échoue sous CentOs 7.

Kerberos

L'authentification Kerberos nécessite une connexion à l'hôte supervisé en utilisant :

un nom DNS,
un domaine Active Directory (Windows),
un nom d'utilisateur,
et un mot de passe.

Ce protocole est recommandé et utilisé par défaut sur Windows depuis Windows 2000.

Kerberos offre une communication chiffrée basée sur des tickets d’authentification temporaires émis par le contrôleur de domaine.

Méthode	Nom d'utilisateur requis	Mot de passe requis	Domaine requis	Connexion via IP	Chiffrement	Support natif Windows	Remarques
NTLM	✅	✅	❌ (optionnel)	✅	✅ (NTLMv2)	✅	Activé par défaut. Non recommandé depuis 2010. Faille critique en 2024.
Kerberos	✅	✅	✅ (obligatoire)	❌ (DNS requis)	✅ (tickets)	✅	Recommandé. Nécessite nom DNS, domaine AD, synchronisation horaire.
Basic (HTTP Auth)	✅	✅	❌	✅	❌ (données en clair)	✅	Très risqué sans HTTPS.
Certificat (HTTPS)	❌ (certificat utilisé)	❌	❌	✅	✅ (SSL/TLS)	❌ (configuration manuelle)	Très sécurisé. Demande gestion des certificats et d'une autorité de confiance.