Détection
La détection du système d’exploitation permet de distinguer les machines Windows des autres machines. Celle-ci est basée sur le paramétrage du TTL du ping, qui est (par défaut) différent sur les OS Windows. Cette détection est faite à la première apparition du voisin, puis toutes les 24 heures.
Attention, pour que cette détection d'OS fonctionne, le trafic ICMPv4 doit être autorisé par le pare-feu (voir partie Régles de pare-feu à activer)
Déploiement
- Les machines cibles doivent exécuter à minima Windows 7 / Windows Server 2008 R2 (compatibilité PowerShell 2.0)
- Windows doit être installé sur le disque C: de la machine cible
- Le service WMI Remote doit être activé sur la machine cible (service Infrastructure de gestion Windows)
- Le pare-feu doit accepter les connexions WMI et DCOM (voir partie Régles de pare-feu à activer)
Afin de déployer l’agent RG, un contrôleur de domaine Active Directory doit être présent dans le réseau de la machine cible. Si ce n’est pas le cas, un compte local peut être utilisé avec les conditions suivantes :
- Soit l’UAC est désactivé sur les machines cibles et des identifiants administrateur locaux sont utilisés
- Soit l'UAC est activé et le compte Administrateur Windows par défaut est utilisé
Pour aller plus loin sur les configurations WMI nécessaires, vous pouvez vous référer à ce tutoriel : https://docs.microsoft.com/en-us/windows/win32/wmisdk/connecting-to-wmi-remotely-starting-with-vista
Régles de pare-feu à activer
Sur l'agent interrogateur
Partage de fichiers et d’imprimantes (Demande d’écho - Trafic sortant ICMPv4)
Infrastructure de gestion Windows (WMI-Out)
Infrastructure de gestion Windows (DCOM-Out)
Sur les machines cibles
Partage de fichiers et d’imprimantes (Demande d’écho - Trafic entrant ICMPv4)
Infrastructure de gestion Windows (WMI-In)
Infrastructure de gestion Windows (DCOM-In)
Commande de déploiement de règle de pare-feu
netsh advfirewall firewall set rule name="{nom de la règle}" new enable=yes