Détection

La détection du système d’exploitation permet de distinguer les machines Windows des autres machines. Celle-ci est basée sur le paramétrage du TTL du ping, qui est (par défaut) différent sur les OS Windows. Cette détection est faite à la première apparition du voisin, puis toutes les 24 heures.

 

Attention, pour que cette détection d'OS fonctionne, le trafic ICMPv4 doit être autorisé par le pare-feu (voir partie Régles de pare-feu à activer)

Déploiement

  • Les machines ciblesdoivent exécuter à minima Windows 7 / Windows Server 2008 R2 (compatibilité PowerShell 2.0) 
  • Windows doit être installé sur le disque C: de la machine cible
  • Le service WMI Remote doit être activé sur la machine cible (service Infrastructure de gestion Windows)
  • Le pare-feu doit accepter les connexions WMI et DCOM (voir partie Régles de pare-feu à activer)

Afin de déployer l’agent RG, ucontrôleur de domaine Active Directory doit être présent dans le réseau de la machine cible. Si ce n’est pas le cas, un compte local peut être utilisé avec les conditions suivantes :  

  • Soit l’UAC est désactivé sur les machines cibles et des identifiants administrateur locaux sont utilisés
  • Soit l'UAC est activé et le compte Administrateur Windows par défaut est utilisé

Pour aller plus loin sur les configurations WMI nécessaires, vous pouvez vous référer à ce tutoriel : https://docs.microsoft.com/en-us/windows/win32/wmisdk/connecting-to-wmi-remotely-starting-with-vista

 

Régles de pare-feu à activer

Sur l'agent interrogateur

Partage de fichiers et d’imprimantes (Demande d’écho - Trafic sortant ICMPv4)
Infrastructure de gestion Windows (WMI-Out)
Infrastructure de gestion Windows (DCOM-Out)

 

Sur les machines cibles

Partage de fichiers et d’imprimantes (Demande d’écho - Trafic entrant ICMPv4)
Infrastructure de gestion Windows (WMI-In)
Infrastructure de gestion Windows (DCOM-In)

 

Commande de déploiement de règle de pare-feu

netsh advfirewall firewall set rule name="{nom de la règle}" new enable=yes