Attention : le support de WAPT 1.8.2 a pris fin le 30 juin 2022.

Il y a plusieurs vulnérabilité présente dans la branche WAPT 1.8.2.7393. Merci de mettre à jour sur la version supportée la plus récente. Liste des CVEs (non exhaustive) :
  • * python engine : python 2.7 (CVE-2020-10735, CVE-2015-20107, CVE-2022-0391, CVE-2021-23336, CVE-2021-3177, CVE-2020-27619, CVE-2020-26116, CVE-2019-20907, CVE-2020-8492, etc.)
  • * cryptography : openssl : CVE-2022-2068, CVE-2022-1292, CVE-2022-0778, CVE-2021-4160, CVE-2021-3712, CVE-2021-23841, CVE-2021-23840, CVE-2021-23839, CVE-2020-1971, CVE-2020-1968, CVE-2019-1551
  • * python dependencies : cryptography (CVE-2020-36242, CVE-2020-25659), eventlet (CVE-2021-21419), jinja2 (CVE-2020-28493), psutil (CVE-2019-18874), waitress (CVE-2022-31015), lxml (CVE-2021-4381, CVE-2021-28957, CVE-2020-27783, CVE-2018-19787), ujson (CVE-2022-31117, CVE-2022-31116, CVE-2021-45958), python-ldap (CVE-2021-46823)

Simplifier la préparation de vos postes de travail

Nous observons que de nombreuses entreprises et administrations intègrent des logiciels et des configurations dans les images Windows qu’elles déploient sur leurs parcs de machines.

Si vous utilisez WAPT, perdez cette habitude maintenant et pour toujours ! Pourquoi ?

  • Chaque fois que vous créez une nouvelle image, vous perdez beaucoup de temps à installer des logiciels et à les configurer. Vous êtes très limité dans les configurations utilisateur que vous pourrez inclure dans votre image.

  • chaque fois que vous créez une nouvelle image, si vous êtes sérieux, vous devrez suivre les changements dans un document texte, un tableur ou un outil de gestion des changements. C’est une charge très lourde et ingrate. Et vous savez aussi bien comme moi que ce qui est ingrat est généralement mal fait !

  • enfin, si vous introduisez dans votre image des configurations de sécurité, des configurations réseau, ou des configurations pour limiter l’intrusion de la télémétrie Windows, ces configurations peuvent perturber le fonctionnement normal du WAPT, cela compliquera les diagnostics futurs, et cela vous découragera d’utiliser un outil efficace très capable de vous libérer de grandes quantités de temps et d’efforts.

Que proposez-vous de faire alors ?

Tranquil IT recommande :

  • pour ne faire qu’une seule image brute par type de système d’exploitation avec MDT ou Fog (win10, win2016, etc) sans aucune configuration ni logiciel. Déposez uniquement les pilotes système dont vous avez besoin pour le déploiement de votre image dans les répertoires MDT ou Fog prévus à cet effet ;

  • configurer votre serveur WAPT afin d’enregistrer les hôtes avec un UUID aléatoire pour éviter les conflits UUID Bios ou FQDN ;

  • créer autant d’Unités Organisationnelles que vous avez de types de machines dans l’UO CN=Computers (ex : standard_laptop, hardened_laptop, workstations, servers, etc) dans votre Active Directory ;

  • configurer votre Active Directory afin de distribuer la GPO de l’agent WAPT aux différentes Unités Organisationnelles machine ; de cette façon, vous pouvez opter pour des configurations fines de votre waptagent.ini pour les hôtes rattachés à chaque UO.

Note

Alternativement, vous pouvez inclure un agent WAPT générique dans l’image de votre système d’exploitation.

  • configurer correctement votre DHCP afin de rediriger le PXE vers les images des systèmes d’exploitation ;

  • configurer correctement votre MDT ou votre Fog afin d’enregistrer la machine dans la bonne Unité Organisationnelle de votre Active Directory ;

  • créer autant de paquets de configuration de sécurité WAPT que vous avez d’Unités Organisationnelles créées ci-avant. Ainsi, vous pourrez appliquer différents profils de sécurité selon le type de machine. Ces paquets comprendront les configurations de sécurité souhaitées (suppression de la télémétrie, configuration du pare-feu, etc) ;

Indication

Pour vous faire gagner du temps, vous pouvez baser votre stratégie de configuration de sécurité sur les paquets de sécurité WAPT déjà disponibles dans le store WAPT, il vous suffira de les compléter en fonction des exigences de sécurité spécifiques de votre organisation.

  • créer dans l’UO CN=Computers autant d’Unités Organisationnelles qu’il y a de typologies d’usage des ordinateurs dans votre organisation (accounting, point_of_sale, engineering, sedentary_sales, etc) ;

  • créer des paquets WAPT génériques de vos applications logicielles avec leurs configurations associées ;

Note

Pour vous faire gagner du temps et des efforts, vous pouvez importer de nombreux paquets WAPT éprouvés depuis les stores publics de Tranquil IT ou vous abonner aux stores privés de Tranquil IT.

  • associer les paquets WAPT créés ci-dessus aux Unités Organisationnelles des typologies d’utilisation des ordinateur ;

Comment le scénario fonctionne-t-il ?

  • vous recevez ou le responsable informatique du site distant reçoit une nouvelle machine dans sa boîte ;

Indication

Alternativement, vous choisissez ou le responsable informatique du site distant choisit de faire passer une machine existante de win7 à win10. Vous aurez, ou il aura préalablement sauvegardé le(s) répertoire(s) de l’utilisateur sur un lecteur réseau ou un autre support de stockage pratique.

À cette fin, vous pouvez construire un paquet WAPT qui, à l’exécution, zippera le fichier C:\Users sur l’ordinateur win7, le nommera avec le FQDN de l’ordinateur, protégera par mot de passe le fichier compressé en utilisant cette procédure et le chargera sur un serveur web ou un partage réseau. Ce même paquet WAPT peut effectuer le processus inverse et réinstaller les fichiers utilisateur après que l’hôte ait été ré-imagé.

  • vous configurez le MDT ou le Fog avec l’adresse MAC de la machine afin qu’elle obtienne la bonne image du système par DHCP et qu’elle se positionne dans la bonne Unité Organisationnelle à la fin du processus de clonage ;

  • l’image système attendue est téléchargée sur la machine en temps masqué, la machine est placée dans la bonne Unité Organisationnelle ;

  • l’agent WAPT enregistre la machine auprès du serveur WAPT, la machine apparaît dans la console WAPT ;

Indication

Si vos machines proviennent d’une mise à jour de win7 à win10, alors vous retirerez les anciennes machines win7 de l’inventaire WAPT car elles seront dupliquées en raison de votre choix de configuration UUID aléatoire ; ces machines seront faciles à trouver dans la console WAPT car elles seront marquées comme win7 avec la même adresse MAC ou le même FQDN que votre nouvelle machine win10 ; après avoir retiré le win7, votre inventaire sera propre et à jour dans votre console WAPT ;

  • l’agent WAPT détecte qu’il se trouve dans une Unité Organisationnelle qui nécessite un ensemble de logiciels et une configuration de sécurité particuliers ;

  • l’agent WAPT télécharge et exécute des progiciels et des configurations de sécurité en temps masqué ; l’agent WAPT supprime automatiquement les droits délégués qui sont rendus inutiles après avoir rejoint le domaine pour éviter qu’ils ne soient ensuite exploités de manière non autorisée ;

  • soit par groupe de machines, soit machine par machine, vous finalisez la configuration des machines en leur attribuant des paquets WAPT spécifiques ;

Indication

Si vous le souhaitez, vous pouvez même laisser l’étape de configuration finale à vos utilisateurs en configurant le libre-service WAPT pour eux (configuration des imprimantes, besoins logiciels spéciaux, etc).

Conclusion

Avec peu d’efforts, vous avez maintenant le contrôle total d’une flotte de plusieurs centaines, voire milliers de machines géographiquement dispersées. Toutes vos installations sont documentées, vos utilisateurs travaillent avec des droits adéquats et vous bénéficiez d’une visibilité claire sur les outils et les usages de vos utilisateurs. Ainsi, le passé n’est plus un fardeau impondérable pour vous et un obstacle à vos projets futurs.