resinfo-swmb issueshttps://gitlab.in2p3.fr/resinfo-gt/swmb/resinfo-swmb/-/issues2024-03-06T10:20:00+01:00https://gitlab.in2p3.fr/resinfo-gt/swmb/resinfo-swmb/-/issues/64Problème à l'installation en ligne de commande2024-03-06T10:20:00+01:00Corine MarconProblème à l'installation en ligne de commandeBonjour,
je commence à tester SWMB au G2ELab.
J'ai cloné le projet sur le poste ; lancé la commande préalable "Set-ExecutionPolicy -ExecutionPolicy Unrestricted -Scope Process", et lancé la commande d'installation ".\\swmb.ps1 -pres...Bonjour,
je commence à tester SWMB au G2ELab.
J'ai cloné le projet sur le poste ; lancé la commande préalable "Set-ExecutionPolicy -ExecutionPolicy Unrestricted -Scope Process", et lancé la commande d'installation ".\\swmb.ps1 -preset "Presets\\LocalMachine-Default.preset"".
Et là, j'ai l'erreur :
```
Import-Module : Membre «ModuleVersion» non valide dans le fichier manifeste de module « C:\admin\resinfo-swmb\Modules\SWMB.psd1»: Impossible de convertir la valeur «VERSION» en type «System.Version». Erreur: «La portion de la chaîne version était trop courte ou trop longue.» Au caractère C:\admin\resinfo-swmb\swmb.ps1:37 : 2 + Import-Module -Name $SwmbCoreModule -ErrorAction Stop + ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ + CategoryInfo : ResourceUnavailable: (C:\admin\resinfo-swmb\Modules\SWMB.psd1:String) [Import-Module], A rgumentException + FullyQualifiedErrorId : Modules_InvalidManifest,Microsoft.PowerShell.Commands.ImportModuleCommand
```
Je m'en sors en remplaçant `__VERSION__` par 3.15 dans le fichier SWMB.psd1.
Ensuite, ça marche bien. Ce n'est pas bloquant pour moi, mais ça pourrait l'être pour d'autres.
Merci pour votre aide te pour ce projet.
Corinehttps://gitlab.in2p3.fr/resinfo-gt/swmb/resinfo-swmb/-/issues/63Delivery Optimization mode2024-02-21T15:50:21+01:00Olivier De MarchiDelivery Optimization modeMerge tweaks SetP2PUpdateLocal, SetP2PUpdateDisable and SetP2PUpdateInternet on [Resinfo.psm1](https://gitlab.in2p3.fr/resinfo-gt/swmb/resinfo-swmb/-/blob/master/Modules/SWMB/Resinfo.psm1)
Use [Custom-VarDefault.psm1](https://gitlab.in2...Merge tweaks SetP2PUpdateLocal, SetP2PUpdateDisable and SetP2PUpdateInternet on [Resinfo.psm1](https://gitlab.in2p3.fr/resinfo-gt/swmb/resinfo-swmb/-/blob/master/Modules/SWMB/Resinfo.psm1)
Use [Custom-VarDefault.psm1](https://gitlab.in2p3.fr/resinfo-gt/swmb/resinfo-swmb/-/blob/master/Modules/SWMB/Custom-VarDefault.psm1) to set value. Use `99` instead of `100` (100 not recommanded with windows 11)
see https://admx.help/?Category=Windows_10_2016&Policy=Microsoft.Policies.DeliveryOptimization::DownloadModehttps://gitlab.in2p3.fr/resinfo-gt/swmb/resinfo-swmb/-/issues/62errors with HKCU tweak - Permission Denied2024-02-01T17:14:27+01:00Olivier De Marchierrors with HKCU tweak - Permission DeniedCertains tweaks HKCU tentent des créer des clés dans "Policies" de "HKCU" (tâche programmée ouverture de session). Mais ce n'est pas autorisé. Voir les log `C:\ProgramData\SWMB\Logs\CurrentUser-LastLogon.log`
Par exemple `New-Item -Path...Certains tweaks HKCU tentent des créer des clés dans "Policies" de "HKCU" (tâche programmée ouverture de session). Mais ce n'est pas autorisé. Voir les log `C:\ProgramData\SWMB\Logs\CurrentUser-LastLogon.log`
Par exemple `New-Item -Path "HKCU:\Software\Policies\Microsoft\Windows\CloudContent"` n'est pas autorisé. Voir
[CurrentUser-Privacy](https://gitlab.in2p3.fr/resinfo-gt/swmb/resinfo-swmb/Modules/SWMB/CurrentUser-Privacy.psm1)
Si cette commande est utilisée en tant qu'administrateur", c'est le HKCU de compte administrateur qui est modifiée. Si elle utilisée en tant qu'utilisateur => permission denied.https://gitlab.in2p3.fr/resinfo-gt/swmb/resinfo-swmb/-/issues/61Automatic create nice release2023-12-11T22:18:50+01:00MOREAU Gabriel [LEGI]Automatic create nice releaseIt's possible to do better than now :
See https://docs.gitlab.com/ee/user/project/releases/release_cicd_examples.html#create-a-release-when-a-commit-is-merged-to-the-default-branch
and for better test https://stackoverflow.com/question...It's possible to do better than now :
See https://docs.gitlab.com/ee/user/project/releases/release_cicd_examples.html#create-a-release-when-a-commit-is-merged-to-the-default-branch
and for better test https://stackoverflow.com/questions/67713482/how-to-trigger-a-gitlab-ci-cd-pipeline-when-cutting-a-new-releasehttps://gitlab.in2p3.fr/resinfo-gt/swmb/resinfo-swmb/-/issues/60Faire le point sur la possibilité de paramétrer les mises à jour Windows via ...2023-11-22T14:14:12+01:00HORTOLLAND PhilippeFaire le point sur la possibilité de paramétrer les mises à jour Windows via SWMB en remplacement de WSUS (Wapt propose cette fonction dans sa version payante)https://gitlab.in2p3.fr/resinfo-gt/swmb/resinfo-swmb/-/issues/59Automatic clean files2023-11-10T10:53:56+01:00Olivier De MarchiAutomatic clean filesDéfinir un politique de suppression automatique de fichiers temporaires.
Pour le système, qu'est ce que Windows nettoie automatiquement par défaut ?
- `C:\Windows\Temp`
- `C:\Windows\Prefetch\`
- point de restauration anciens
Pour l'ut...Définir un politique de suppression automatique de fichiers temporaires.
Pour le système, qu'est ce que Windows nettoie automatiquement par défaut ?
- `C:\Windows\Temp`
- `C:\Windows\Prefetch\`
- point de restauration anciens
Pour l'utilisateur
- il peut être intéressant de supprimer certains fichiers temporaires genre `$env:TEMP\*` (emplacement classique pour les virus)
- la corbeille (au bout d'un certain temps)
- autres ?
Quand :
- tâche programmée, ouverture ou fermeture de session
- tâche programmée, démarrage ou extinction de la machine
Outils :
- directement en powershell genre `Remove-Item -Path $env:TEMP\* -Recurse -Force -ErrorAction SilentlyContinue`
- outils intégré à Windows `cleanmgr.exe`
Voir https://www.malekal.com/comment-utiliser-cleanmgr-en-ligne-de-commandes/ et notamment un script de configuration https://www.malekal.com/nettoyer-disque-cmd-script-pour-supprimer-automatiquement-les-fichiers-temporaires-de-windows/ Voir aussi
https://learn.microsoft.com/en-us/windows-server/administration/windows-commands/cleanmgrhttps://gitlab.in2p3.fr/resinfo-gt/swmb/resinfo-swmb/-/issues/58Sonde NCSI2023-09-03T16:44:26+02:00MOREAU Gabriel [LEGI]Sonde NCSIWindows va régulièrement tester sa connectivité internet.
https://learn.microsoft.com/fr-fr/windows-server/networking/ncsi/ncsi-frequently-asked-questions
Faut-il ne pas activer le mécanisque ou mettre en place son propre serveur ?Windows va régulièrement tester sa connectivité internet.
https://learn.microsoft.com/fr-fr/windows-server/networking/ncsi/ncsi-frequently-asked-questions
Faut-il ne pas activer le mécanisque ou mettre en place son propre serveur ?https://gitlab.in2p3.fr/resinfo-gt/swmb/resinfo-swmb/-/issues/57Implement webhook2023-09-03T18:12:05+02:00MOREAU Gabriel [LEGI]Implement webhookA call to a webhook server will return a list of Tweaks to apply.
The webhook server could be this one https://github.com/adnanh/webhook (a Debian package exist).
The webhook call could be very simple : just the name of the HOST or mor...A call to a webhook server will return a list of Tweaks to apply.
The webhook server could be this one https://github.com/adnanh/webhook (a Debian package exist).
The webhook call could be very simple : just the name of the HOST or more comprehensive
* Hostname `${Env:COMPUTERNAME}`
* Unique SWMB HostID created on installation (in order to secure transaction ?)
* IP
* Domain name (with `Get-DnsClient` ? See https://shellgeek.com/get-domain-name-using-powershell-and-cmd/)
* Current User `${Env:UserName}`
* Current group (admin or not admin)
* Kind of call (logon, boot, logoff, shutdown, HKLM or HKCU...)
A special tweak could be use, `SysWebhook` for example, but how to pass some parameter (via a parameter module ?), or the use of `$PRESET` with an `http://` URL?
```
# Current User
$PRESET https://www.example.org/swmb/webhook/logon
# Boot
$PRESET https://www.example.org/swmb/webhook/boot
```
SWMB will send the host and user parameters to the webhook server in JSON format, for example. The webhook server will use the URL form and the JSON file to decide what to send in return. Over time, the JSON file could become increasingly rich in data, enabling us to refine the tweaks we propose. We could imagine a similar process for sending back data (logs, alerts, etc.).
However, it's important to bear in mind that the network isn't always available, the machine must always be in working order, and the process must be as fast as possible.https://gitlab.in2p3.fr/resinfo-gt/swmb/resinfo-swmb/-/issues/56Enable MSOffice Update2023-08-22T18:51:07+02:00MOREAU Gabriel [LEGI]Enable MSOffice UpdateAutomatic updating for Microsoft Office is not enabled by default.
See https://learn.microsoft.com/en-us/microsoft-365/troubleshoot/updates/automatic-updates.
We could create a Tweak EnableMSOfficeUpdate / DisableMSOfficeUpdate.
Regist...Automatic updating for Microsoft Office is not enabled by default.
See https://learn.microsoft.com/en-us/microsoft-365/troubleshoot/updates/automatic-updates.
We could create a Tweak EnableMSOfficeUpdate / DisableMSOfficeUpdate.
Register key `HKEY_LOCAL_MACHINE\software\policies\microsoft\office\16.0\common\OfficeUpdate`
* Field `EnableAutomaticUpdates`
* `0` = automatic updates are disabled
* `1` = automatic updates are enabled
* Field `HideEnableDisableUpdates`
* `1` = hide the menu option to enable or disable automatic updates
* `0` = show the menu option to enable or disable automatic updates
For Office 2013, the key is not the same, but should this version be taken into account?https://gitlab.in2p3.fr/resinfo-gt/swmb/resinfo-swmb/-/issues/55Uninstall HP bloatware2024-02-07T13:40:21+01:00Olivier De MarchiUninstall HP bloatwareWith this script
https://github.com/BurgerhoutJ/scripts/blob/main/remove-bloatware/RemoveHPBloatware.ps1
Maybye keep "HP support assistant" for HP drivers updateWith this script
https://github.com/BurgerhoutJ/scripts/blob/main/remove-bloatware/RemoveHPBloatware.ps1
Maybye keep "HP support assistant" for HP drivers updatehttps://gitlab.in2p3.fr/resinfo-gt/swmb/resinfo-swmb/-/issues/54Restrict the use of certain cryptographic algorithms like RC42022-12-05T16:49:42+01:00MOREAU Gabriel [LEGI]Restrict the use of certain cryptographic algorithms like RC4It could be useful to restrict and limit the usage of old algorithms
https://learn.microsoft.com/en-US/troubleshoot/windows-server/windows-security/restrict-cryptographic-algorithms-protocols-schannelIt could be useful to restrict and limit the usage of old algorithms
https://learn.microsoft.com/en-US/troubleshoot/windows-server/windows-security/restrict-cryptographic-algorithms-protocols-schannelhttps://gitlab.in2p3.fr/resinfo-gt/swmb/resinfo-swmb/-/issues/53Impose a password on wake-up2022-11-28T11:07:11+01:00MOREAU Gabriel [LEGI]Impose a password on wake-upBy default Windows 11 pro doesn't ask for the password again during 15 minutes. However, it would be desirable to make the password request mandatory.
See the request on the ASR list of 09/11/2022By default Windows 11 pro doesn't ask for the password again during 15 minutes. However, it would be desirable to make the password request mandatory.
See the request on the ASR list of 09/11/2022https://gitlab.in2p3.fr/resinfo-gt/swmb/resinfo-swmb/-/issues/52Disable Teredo IPv6 tunnel2023-04-13T12:00:05+02:00MOREAU Gabriel [LEGI]Disable Teredo IPv6 tunnelIt's seem to be disable in all new Windows 10 version. However, nothing prevents you from forcing it to stop.It's seem to be disable in all new Windows 10 version. However, nothing prevents you from forcing it to stop.https://gitlab.in2p3.fr/resinfo-gt/swmb/resinfo-swmb/-/issues/51Uninstall WinRAR or equivalent2022-07-07T12:10:59+02:00MOREAU Gabriel [LEGI]Uninstall WinRAR or equivalentL'inventaire d'un parc montre que certaines personnes installent des logiciels qui soit ne sont pas validés, soit sont inutiles car il y a une version libre proposée par l'entité comme 7-Zip vs WinRAR.
Il pourrait donc être intéressant ...L'inventaire d'un parc montre que certaines personnes installent des logiciels qui soit ne sont pas validés, soit sont inutiles car il y a une version libre proposée par l'entité comme 7-Zip vs WinRAR.
Il pourrait donc être intéressant d'avoir des règles de désinstallation de ces logiciels dans SWMB afin qu'à lancement de SWMB, ces logiciels soient supprimés du poste.https://gitlab.in2p3.fr/resinfo-gt/swmb/resinfo-swmb/-/issues/50Uninstall F-Secure2023-10-03T15:37:15+02:00MOREAU Gabriel [LEGI]Uninstall F-SecureComme nous avons fait une désinstallation de Kasperky, il serait intéressant de réaliser un script pour désinstaller F-Secure, vu que nous sommes dedans.
Par exemple, il faut peut-être dès à présent prévoir un mot de passe de désinstall...Comme nous avons fait une désinstallation de Kasperky, il serait intéressant de réaliser un script pour désinstaller F-Secure, vu que nous sommes dedans.
Par exemple, il faut peut-être dès à présent prévoir un mot de passe de désinstallation lors de la configuration afin de pouvoir supprimer ce logiciel un jour, même si le serveur n'est plus en place. Or par défaut, il est possible de bloquer cette déinstallation.
Ce cas là peut arriver régulièrement dans les laboratoires lorsqu'un poste est remis en fonctionnement après deux ans sur une étagère...https://gitlab.in2p3.fr/resinfo-gt/swmb/resinfo-swmb/-/issues/49MSDT : Microsoft Support Diagnostic Tool Vulnerability - CVE-2022-301902022-06-02T10:23:35+02:00MOREAU Gabriel [LEGI]MSDT : Microsoft Support Diagnostic Tool Vulnerability - CVE-2022-30190Il est recommandé de désactiver le protocole MSDT (Microsoft Support Diagnostic Tool Vulnerability). La technique pour désactiver MSDT est documentée sur le Microsoft Security Responce Center :
https://msrc-blog.microsoft.com/2022/05/30...Il est recommandé de désactiver le protocole MSDT (Microsoft Support Diagnostic Tool Vulnerability). La technique pour désactiver MSDT est documentée sur le Microsoft Security Responce Center :
https://msrc-blog.microsoft.com/2022/05/30/guidance-for-cve-2022-30190-microsoft-support-diagnostic-tool-vulnerability/
Cette technique ne bloque pas le flux sortant permettant de récupérer les commandes malveillantes mais elle empêche leurs exécutions. Une fois MSDT désactivé, les usagers qui auront la mauvaise idée d’ouvrir les documents piégés seront invités à identifier une application pour ouvrir les lien ms-msdt. Il faut donc les alerter sur cette vulnérabilité et leur indiquer auprès de vous signaler tout évènement en lien avec celle-ci.https://gitlab.in2p3.fr/resinfo-gt/swmb/resinfo-swmb/-/issues/48Microsoft PowerShell DSC2022-05-23T13:27:55+02:00MOREAU Gabriel [LEGI]Microsoft PowerShell DSCVoir ce que ce projet qui ressemble dans l'esprit à un Puppet pour Windows (voir plus) pourrait apporter à SWMB et réciproquement.
* Vue d’ensemble - https://docs.microsoft.com/fr-fr/powershell/scripting/dsc/overview?view=powershell-7.2...Voir ce que ce projet qui ressemble dans l'esprit à un Puppet pour Windows (voir plus) pourrait apporter à SWMB et réciproquement.
* Vue d’ensemble - https://docs.microsoft.com/fr-fr/powershell/scripting/dsc/overview?view=powershell-7.2
* Get started - https://docs.microsoft.com/en-us/powershell/dsc/getting-started/winGettingStarted?view=dsc-1.1
* L'essentiel sur DSC - https://www.lemagit.fr/conseil/Lessentiel-sur-Microsoft-PowerShell-Desired-State-Configuration
* DSC, c'est quoi ? - https://www.it-connect.fr/chapitres/powershell-dsc-cest-quoi/
* What is DSC ? - https://www.techtarget.com/searchwindowsserver/definition/Microsoft-Windows-PowerShell-DSC-Desired-State-Configuration
Pour information, il existe par exemple DSC sous Linux - https://docs.microsoft.com/en-us/powershell/dsc/getting-started/lnxgettingstarted?view=dsc-1.1https://gitlab.in2p3.fr/resinfo-gt/swmb/resinfo-swmb/-/issues/47Windows Firewall2022-03-31T08:14:52+02:00Olivier De MarchiWindows FirewallLa fonction `Enable/DiasableFirewall` définie actuellement dans [Modules/SWMB/LocalMachine-Security.psm1](LocalMachine-Security.psm1) paramètre `HKLM:\SOFTWARE\Policies\Microsoft\WindowsFirewall\StandardProfile`.
Voir [la GPO sur ADMX](...La fonction `Enable/DiasableFirewall` définie actuellement dans [Modules/SWMB/LocalMachine-Security.psm1](LocalMachine-Security.psm1) paramètre `HKLM:\SOFTWARE\Policies\Microsoft\WindowsFirewall\StandardProfile`.
Voir [la GPO sur ADMX](https://admx.help/?Category=Windows_10_2016&Policy=Microsoft.Policies.WindowsFirewall::WF_EnableFirewall_Name_2)
Mais elle ne fait rien immédiatement... Il faut voir ce que cela donne après un reboot.
Le service ne peut pas être redémarré par `Restart-Service -Name mpssvc` car il est complètement verrouillé.
Des commandes simples pour activer/desactiver le firewall <br/>
- `Set-NetFirewallProfile -Profile Domain,Public,Private -Enabled False`
- ou `netsh advfirewall set allprofiles state off`
- `Set-NetFirewallProfile -Profile * -Enabled True`
- ou `netsh advfirewall set allprofiles state on`
_A priori_ les commandes ci-dessus modifient les clés suivantes (0 pour désactiver 1 pour activer) :
```
- HKLM\System\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\PublicProfile\EnableFirewall
- HKLM\System\CurrentControlSet\Services\BFE\Parameters\Policy\Options\EnablePacketQueue
- HKLM\System\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\EnableFirewall
- HKLM\System\CurrentControlSet\Services\BFE\Parameters\Policy\Options\EnablePacketQueue
- HKLM\System\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\EnableFirewall
```
Le reset des règles peut être effectué avec
- `(New-Object -ComObject HNetCfg.FwPolicy2).RestoreLocalFirewallDefaults()`
- `netsh advfirewall reset`
Le démarrage du service se fait grace à la clé de registre (2 pour Auto, 4 pour désactiver)
`HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\mpssvc`.https://gitlab.in2p3.fr/resinfo-gt/swmb/resinfo-swmb/-/issues/46Windows Defender2022-03-07T08:19:21+01:00MOREAU Gabriel [LEGI]Windows DefenderTexte en provenance de la liste ASR daté du 2 mars.
«
Si l’on parle d’un parc homogène Windows10, il existe des solutions de contournement pour des remontées et/ou configurations à distance de Defender sur l'ensemble du parc.
Qui dit p...Texte en provenance de la liste ASR daté du 2 mars.
«
Si l’on parle d’un parc homogène Windows10, il existe des solutions de contournement pour des remontées et/ou configurations à distance de Defender sur l'ensemble du parc.
Qui dit parc Windows dit le plus souvent AD, donc GPO, tâches planifiées, etc. Et il existe justement une collection de modules PowerPoint pour automatiser des actions de configuration, MAJ, ou remontée d’infos de Defender
Defender Module | Microsoft Docs
https://docs.microsoft.com/en-us/powershell/module/defender/?view=windowsserver2022-ps
Et pour info, certaines options de Defender ne peuvent se configurer qu’en PowerShell ou par GPO car l’option n’est pas disponible dans la GUI du poste… Par exemple, le blocage des applications potentiellement indésirables (PUA) https://docs.microsoft.com/fr-fr/microsoft-365/security/defender-endpoint/detect-block-potentially-unwanted-apps-microsoft-defender-antivirus?view=o365-worldwide#to-enable-pua-protection
»
Il y a peut-être un truc à creuser...https://gitlab.in2p3.fr/resinfo-gt/swmb/resinfo-swmb/-/issues/45Microsoft a fait du nettoyage dans ses policies pour Windows update2022-02-01T09:09:08+01:00MOREAU Gabriel [LEGI]Microsoft a fait du nettoyage dans ses policies pour Windows updateFaire une petite analyse des changements et un retour lors d'une réunion.
https://4sysops.com/archives/microsoft-retires-25-group-policies-for-windows-update/
Cela peut-il avoir une conséquence sur le classement de nos tweaks ?Faire une petite analyse des changements et un retour lors d'une réunion.
https://4sysops.com/archives/microsoft-retires-25-group-policies-for-windows-update/
Cela peut-il avoir une conséquence sur le classement de nos tweaks ?