I. Présentation

Dans cet article, nous allons voir comment durcir la configuration du gestionnaire de mots de passe KeePass afin de mieux protéger des attaques les coffres-forts de mots de passe.

• Voir la vidéo sur YouTube

• Découverte de KeePass (et KeePassXC)

Pour atteindre cet objectif et effectuer le hardening de KeePass, nous allons utiliser un fichier de configuration de KeePass prêt à l'emploi et disponible sur le GitHub du projet "KeePass Enhanced Security Configuration" (découvert ici) :

• Accéder au GitHub du projet KeePass Enhanced Security Configuration

Voici quelques-unes des règles de durcissement mises en œuvre :

• Définir la politique du mot de passe maître sur 16 caractères minimum
• Activer la fonctionnalité "Secure Desktop" de KeePass pour se protéger de certaines menaces (keylogger, par exemple) - Mesure de protection indispensable !
• Activer le verrouillage automatique après 10 minutes d'inactivité
• Nettoyer le presse-papiers au bout de 10 secondes quand une information est copiée en mémoire
• Bloquer l'installation de plugins KeePass
• Bloquer l'importation de données dans une base KeePass
• Bloquer l'exportation des données contenues dans une base KeePass
• Empêcher l'affichage des mots de passe (en clair) sur les entrées existantes
• Désactiver la vérification automatique des mises à jour
• Etc.

Par ailleurs, les ACL sur le répertoire d'installation de KeePass seront modifiées de façon à ce qu'il n'y ait que l'utilisateur à l'origine de l'installation de KeePass qui puisse accéder à ce répertoire.

Remarque : dans cet article, nous allons renforcer la sécurité de l'application KeePass. Ceci n'est pas compatible avec KeePassXC.

II. Utilisation de KeePass Enhanced Security Configuration

A. Durcir une nouvelle installation ou une installation existante de KeePass

Après avoir téléchargé l'archive ZIP du projet depuis GitHub, vous obtenez un répertoire avec un script PowerShell et un fichier de configuration au format XML.

Avant d'aller plus loin, sachez qu'il y a deux cas de figure et que ceci va impacter la manière dont vous devez utiliser cet outil :

• Vous avez déjà KeePass et vous souhaitez durcir la configuration de l'installation existante
• Vous n'avez pas encore KeePass et vous souhaitez l'installer tout en bénéficiant d'une configuration durcie

Si vous avez déjà KeePass sur votre PC, vous devez simplement copier le fichier "KeePass.config.enforced.xml" à la racine du répertoire d'installation de KeePass. Ainsi, au prochain lancement de KeePass, les paramètres contenus dans ce fichier seront appliqués !

Si vous partez de zéro, vous pouvez exécuter le script PowerShell car il va télécharger KeePass (depuis la source officielle), installer l'application et copier également le fichier de configuration.

Dans cette démonstration, le script PowerShell est exécuté :

.\KeePass_Secure_Auto_Install.ps1 -EnforceACL $true

Le paramètre "-EnforceACL $true" est facultatif, mais grâce à lui, les permissions (ACL) sur le répertoire de KeePass seront modifiées. Par ailleurs, vous pouvez utiliser un autre fichier XML en spécifiant son chemin via le paramètre "-ConfigFile". Quelques secondes suffisent pour déployer KeePass avec une configuration durcie.

L'installation est installée dans le répertoire "C:\Program Files\KeePass Password Safe 2". Si l'on regarde les permissions sur ce dossier, il n'y a que l'utilisateur "Florian B", utilisé pour procéder à l'installation, qui a des autorisations. Par défaut, les autorisations sont plus permissives avec notamment un droit de lecture pour tous les utilisateurs.

B. Aperçu de la configuration durcie

Au prochain lancement ou au premier lancement de KeePass pour les nouvelles installations, vous pourrez accéder aux options afin de constater que certaines options sont préconfigurées pour respecter les bonnes pratiques. Ces options sont grisées, car elles sont gérées par la politique. Ceci est possible grâce à notre fichier de configuration XML.

Vous pouvez voir que certaines fonctionnalités sont désactivées : export des entrées, impression des entrées, etc...

D'ailleurs, vous pouvez tester l'efficacité de cette configuration par la pratique. Si vous ouvrez une base KeePass et que vous cliquez sur "File" puis "Export...", vous allez obtenir une erreur : "This operation is disallowed by the application policy.". En temps normal, cette action permet de lancer l'assistant permettant d'exporter les entrées d'une base KeePass.

Sachez que vous pouvez personnaliser la politique de durcissement pour l'adapter à vos besoins (consultez cette page pour vous aider). Si vous pouvez garder celle-ci, c'est tant mieux ! Il y a deux options qui jouent un rôle clé dans le durcissement de la configuration de KeePass :

• Remember master password (in encrypted form) of a database while it is open
• Enter master key on secure desktop

III. Les outils pour attaquer une base KeePass

Comme toutes les applications, KeePass est parfois affecté par des failles de sécurité. Plus ou moins graves, elles peuvent permettre dans le pire des cas de compromettre une base KeePass.

À part cela, il existe plusieurs outils que l'on peut utiliser pour s'attaquer à une base KeePass et que l'on va pouvoir bloquer grâce au durcissement de la configuration effectué précédemment. Par ailleurs, il est important de noter que ces outils sont détectés et bloqués par Microsoft Defender.

Voici quelques exemples :

• kesspass2john avec John The Ripper

Grâce à keepass2john, nous allons pouvoir utiliser l'outil John The Ripper pour réaliser une attaque brute force sur la base KeePass dans l'objectif de deviner le mot de passe maître et accéder au coffre.

• KeeThief

L'outil KeeThieft est compatible avec KeePass 2.X et il va permettre d'extraire des informations sur le mot de passe maître à partir de la mémoire du système.

• KeeFarce

L'outil KeeFace est également compatible avec KeePass 2.X et il va permettre d'extraire les identifiants en clair (nom d'utilisateur, mot de passe, note et URL) vers un fichier CSV, à partir des informations contenues en mémoire.

• Keylogger

Un keylogger présent sur votre machine pourrait capturer silencieusement les frappes au clavier d'un utilisateur. Ceci pourrait permettre de voler le mot de passe maître au moment où vous le saisissez.

Pour approfondir cette partie, vous pouvez lire cet article et celui-ci.

IV. Conclusion

Suite à la lecture de ce tutoriel, vous êtes en mesure de mieux protéger vos coffres KeePass (fichiers KDBX) et les identifiants qu'ils contiennent ! Au-delà de ce hardening, nous vous recommandons d'utiliser un fichier de clé (key file) en plus du mot de passe maître et de stocker ce fichier sur un support indépendant.

The post Comment durcir la configuration de KeePass ? first appeared on IT-Connect.

Le support de Windows Server 2012 et Windows Server 2012 R2 a pris fin le mardi 10 octobre 2023. Pourtant, il est possible de bénéficier encore de mises à jour de sécurité jusqu'en octobre 2026. Comment faire ?

• Le support de Windows Server 2012 R2 et Windows 11 21H2 a pris fin : voici toutes les infos essentielles !

Dans un nouvel article, Microsoft est revenu en détail sur la fin du support de Windows Server 2012 R2 : "Windows Server 2012, Windows Server 2012 R2 et Windows Embedded Server 2012 R2 ont atteint la fin de leur support le 10 octobre 2023, conformément à notre politique de cycle de vie de 10 ans."

L'entreprise américaine explique les options offertes aux entreprises pour bénéficier de mises à jour de sécurité jusqu'au 13 octobre 2026. À partir de cette date, ce sera définitivement terminé pour ce système d'exploitation.

Pour obtenir ces fameuses mises à jour de sécurité, que l'on appelle ESU chez Microsoft (Extended Security Updates), deux options s'offrent aux entreprises : migrer les serveurs vers Azure (en conservant la même version de Windows Server mais en migrant les applications vers des VM Azure) afin d'avoir ces updates gratuitement, ou, conserver les serveurs en l'état mais là il faut payer.

Il y a tout de même une solution intermédiaire, via le service Azure Arc de Microsoft. La firme de Redmond précise : "Si votre organisation n'est pas en mesure de migrer, vous pouvez acheter et déployer en toute transparence les mises à jour de sécurité étendues de Windows Server 2012 activées par Azure Arc sur les serveurs on-premises et les environnements hébergés sans clés, directement à partir du portail Azure."

Les mises à jour de sécurité étendues sur Windows Server 2012 (on-premise)

Sans faire appel aux services Azure, vous pouvez bénéficier des mises à jour ESU mais vous devez acheter des licences spécifiques. Dans ce cas, Microsoft vous invite à passer par son programme Microsoft Volume Licensing. Dans son article, Microsoft explique comment récupérer les licences et comment les installer sur les serveurs de son infrastructure.

Même si les mises à jour ESU seront proposées jusqu'en octobre 2026, vous pouvez acheter "ce service" pour une seule année, pour deux années ou pour trois années. Voici les dates de début et de fin pour chaque "année ESU" de Windows Server 2012 / Windows Server 2012 R2 :

Une fois la nouvelle licence ESU déployée sur votre serveur, cet avantage sera clairement mis en avant dans les détails de votre licence. La commande ci-dessous permet d'obtenir cette information :

slmgr /dlv

Pour ceux qui veulent en savoir plus, consultez l'article de Microsoft. Sinon, en alternative à ce que propose Microsoft, vous avez toujours les correctifs mis à disposition par le service de micropatching "0patch" (payant, toutefois).

Tout cela reste une solution temporaire, l'idéal étant de migrer vers Windows Server 2022.

The post Windows Server 2012 R2 : comment obtenir des mises à jour de sécurité jusqu’en octobre 2026 ? first appeared on IT-Connect.

I. Présentation

Dans cet article, nous allons découvrir la caméra 100% sans-fil Konyks Camini Air puisqu'elle est compatible Wi-Fi et qu'elle intègre une batterie ! Pour avoir une autonomie illimitée, elle sera accompagnée par le panneau solaire Konyks Camini Solar ! Voici un test complet de cette nouveauté disponible depuis septembre 2023 !

Commençons par les caractéristiques de la caméra :

• Résolution de l'image : Full HD - 1920 x 1080px
• Vision nocturne
• Détection de mouvements intelligents, jusqu'à 10 mètres avec un capteur de mouvements
• Connectivité Wi-Fi (en 2.4 Ghz)
• Batterie de 9 600 mAh pour une autonomie de 3 mois (6 heures pour une charge complète)
• Stockage des enregistrements sur carte microSD (non incluse - jusqu'à 128 Go) ou dans le Cloud (payant, en option)
• Audio bidirectionnel : micro et haut-parleur intégré à la caméra
• Alimentation 5V DC 1A (incluse)
• Étanchéité IP65
• Configurable avec l'application officielle Konyks (ou Tuya / Smart Life)
• Compatible avec les fonctions de scénarios et d'automatisation de Konyks
• Compatible avec Chromecast et Amazon Alexa Echo Show pour visualiser l'image

Avant de passer à la suite, voici les caractéristiques du panneau solaire qui va permettre d'alimenter en continu la caméra :

• Puissance maximale : 3 watts
• Câble de raccordement de 3 mètres
• Température de fonctionnement : entre -20°C et 50°C
• Poids : 245 grammes

Sachez que la caméra Konyks Camini Air est vendue seule ou avec la panneau solaire dans un "Solar Pack" commercialisé par la marque française Konyks. Voici des indications sur les tarifs :

• Konyks Camini Air (caméra seule) : 99,90 euros
• Konyks Camini Air Solar Pack (caméra + panneau solaire) : 119,90 euros

Pour information, le panneau solaire seul est vendu 29,90 euros. Je vous recommande de choisir la version avec un panneau solaire, car 3 mois d'autonomie, cela signifie que vous devez recharger la caméra environ 4 fois par an. 3 mois, c'est long et court à la fois, et surtout ça peut être pénible si la caméra est installées à plusieurs mètres de hauteur...

II. Déballage et design

A. Konyks Camini Air

La caméra Konyks Camini Air est livrée avec deux supports de fixation, la quincaillerie nécessaire pour fixer les supports, ainsi qu'un guide de démarrage rapide et un chargeur avec son câble micro-USB. Ce chargeur sert uniquement à recharger la batterie de la caméra. Au passage, il faudrait que Konyks passe à l'USB-C.

La caméra est livrée avec deux supports de fixation. Celui de gauche est en métal et s'accroche à la caméra via un système d'aimants, tandis que celui de droite, principalement en plastique, vient se visser sous la caméra. Dans les deux cas, les supports peuvent se fixer sur un mur, sur une clôture, etc...

La caméra Camini Air a un design assez sobre, et en comparaison de la Camini Go, elle est plus fine. Sa coque blanche est en plastique et il s'agit d'un bloc unique sur lequel vient "se fixer" la façade. Sur la façade, nous retrouvons le capteur vidéo, le micro et le capteur de détection de mouvement. Sur le dessus, il y a un bouton on/off, tandis qu'en dessous il y a un cache en silicone qui donne accès au compartiment où se situent le slot microSD, le port microUSB et le bouton reset.

Le haut-parleur quant à lui est situé à l'arrière de la caméra. C'est également à l'arrière que l'on constate un creux : il sert à positionner le support de fixation magnétique. La qualité de fabrication de la caméra me semble bonne.

B. Konyks Solar Panel

Le panneau solaire Konyks est accompagné par un câble de 3 mètres, ce qui permet d'avoir une distance confortable pour positionner le panneau solaire de façon à ce qu'il soit bien exposé, tout en permettant le raccordement à la caméra. Lui aussi est accompagné par un support de fixation en plastique et un ensemble de vis et chevilles.

Le panneau solaire a les dimensions suivantes : 17,3 x 12 x 1,25cm. Le panneau solaire est intégré dans une coque en plastique blanche, ce qui va créer un ensemble harmonieux avec la caméra Konyks Camini Air. Certifié IP65, ce panneau solaire pourra résister aux intempéries.

III. Utilisation au quotidien

A. Installation et mise en route

Pour installer la caméra, vous avez le choix entre deux supports de fixation.

La principale différence réside dans la façon dont vient se fixer la caméra sur le support. Dans le premier cas, la caméra est vissée au support (comme ci-dessous), alors que dans le second cas, la caméra est aimantée au support.

L'ensemble des appareils de la marque Konyks sont configurables avec l'application Konyks officielle. L'ajout d'un nouvel appareil est simple puisqu'il suffit de se laisser guider après avoir choisi le type d'appareils dans la liste. Je n'ai pas rencontré de difficultés particulières lors de la connexion. Moins de 2 minutes, et c'est fait !

À partir du moment où la caméra est associée à votre compte, vous pouvez commencer à l'utiliser et à effectuer sa configuration. Précision importante : votre caméra doit avoir accès à Internet pour être configurée, même lorsque vous êtes à votre domicile.

B. Fonctionnalités

Il est temps de parler des fonctionnalités de la caméra, de ses capacités de détection, de ses réglages, etc... Lorsque l'on ouvre l'application Konyks et que l'on sélectionne la caméra, nous arrivons sur une vue d'ensemble. Au centre, il y a l'image de la caméra en direct, accompagné dans le haut de l'interface, par plusieurs informations : le pourcentage de batterie, la qualité du flux vidéo, l'état de l'audio et un mode pour zoomer sur l'image. Si le micro de la caméra capte des bruits, ils seront retransmis et vous pourrez les entendre : d'ailleurs le micro est plutôt performant.

Le menu inférieur donne accès à plusieurs fonctions :

• Mode plein écran
• Prendre une capture manuelle, soit une photo, soit une vidéo
• Parler au travers de votre smartphone : le son sera retransmis au niveau de la caméra grâce à son haut-parleur intégré.
• Accès à l'historique des enregistrements vidéos (en mode timeline) via la fonction "Relecture" (à condition d'avoir une carte microSD), ce qui n'empêche pas d'avoir accès à l'historique des événements (avec la date, l'heure et une capture photo de l'événement)
• Accès à l'album des enregistrements, notamment ceux en local sur le smartphone
• Gérer le thème de l'application (je n'ai pas compris d'avoir cette option à cet endroit de l'application)
• Gestion du mode nuit : activer, désactiver, auto
• Gestion du niveau de sensibilité pour la détection de mouvement

Les personnes habituées à manipuler des appareils Konyks ne seront pas perdues puisque l'interface de configuration est identique à celle des autres appareils. Toutefois, c'est assez simple à utiliser. Chaque option / fonctionnalité bénéficie de sa propre entrée dans la liste des paramètres. Voici ce qui est disponible :

• Informations appareil : adresse IP, ID de l'appareil, fuseau horaire et intensité du signal Wi-Fi
• Gestion de l'intégration avec Amazon Echo pour Alexa ou Google Home
• Réglages des fonctions de base : inversion de l'image, affichage de la date et l'heure sur l'image
• Paramètre d'alerte de détection pour activer/désactiver le filtrage des corps humains (pour éviter qu'un animal déclenche un événement)
• Gestion de la détection de mouvements et de la sensibilité
• Gestion de l'alimentation : niveau de batterie, type d'alimentation, et configuration d'une notification pour être alerté lorsque la batterie atteint X% d'autonomie (20% par défaut)
• Notification hors ligne : recevoir une notification sur le smartphone si la caméra est déconnectée (plus de batterie, perte de connexion au Wi-Fi, etc.)
• Partager l'appareil avec un autre utilisateur Konyks
• Mettre à jour le firmware de l'appareil

Ce qui peut manquer, ce sont des explications sur l'utilité de différents paramètres. Là, il faut se débrouiller et essayer d'interpréter chaque option. Compte tenu de l'ergonomie de l'application, il y a largement l'espace suffisant pour ajouter de l'aide.

Par ailleurs, je constate que Konyks n'a pas intégré de fonction "Alarme" pourtant la caméra à tout ce qu'il faut : elle peut détecter les humains et elle a un haut-parleur qui pourrait être utilisé pour jouer un son d'alarme.

Pour stocker les enregistrements, la caméra Konyks Camini Air propose deux options à l'utilisateur :

• Le stockage local, dans la caméra, sur une carte microSD. Malheureusement, la carte mémoire n'est pas incluse donc c'est une dépense à prévoir en plus. L'avantage, c'est qu'il s'agit d'une dépense en one-shot.
• Le stockage Cloud, sur les serveurs gérés par Konyks. Ceci implique de souscrire à un abonnement, à partir de 2.99€ par mois pour 1 caméra avec un historique des événements sur 7 jours : à ce prix, on pourrait s'attendre à 30 jours de rétention (comme chez certains concurrents).

Que se passe-t-il sans carte microSD ni stockage Cloud ? Dans ce cas précis, vous recevez tout de même les alertes et vous pouvez obtenir une photo de l'événement (ce qui en principe permet de voir la personne), mais cette image est éphémère à moins d'être enregistrée sur le stockage local du smartphone.

Il y a une autre option payante proposée par Konyks : les notifications par SMS (9.99 euros le pack de 100 notifications SMS). Ceci permet de recevoir un SMS lorsqu'un mouvement est détecté, en plus de la notification via l'application mobile Konyks. L'avantage du SMS, c'est que même si vous n'avez pas d'Internet sur votre smartphone (pas d'accès 5G, par exemple), vous pouvez le recevoir.

C. L'ajout du panneau solaire

Pour finaliser l'installation du matériel, nous allons connecter le panneau solaire à la caméra Konyks Camini Air ! Après l'avoir fixé au mur à l'aide de son support de fixation, il suffira de le connecter au port microUSB de la caméra, ce qui signifie qu'il faut ouvrir le cache protecteur : même si les ports sont situés sous la caméra, ceci expose le port microUSB et le slot pour la carte microSD, donc à voir dans le temps comment ça réagit avec l'humidité.

A partir du moment où le panneau solaire est connecté à la caméra, cette dernière indique "Alimentation secteur - Chargement" dans ses paramètres puisqu'elle bénéficie de la recharge solaire.

D. Efficacité de la détection

Puisqu'il s'agit d'une caméra, il est important d'évoquer son efficacité en matière de détection. Avec le niveau de sensibilité par défaut, il faut être situé à environ 4 mètres de la caméra pour être détecté. Même si cela dépend de l'environnement, je vous recommande d'augmenter la sensibilité afin d'avoir une "meilleure portée" pour la détection des humains. En mettant la sensibilité au max, la caméra parvient à me détecter très rapidement lorsque je suis à environ 9/10 mètres du capteur. C'est déjà une belle distance et ceci est conforme à la fiche technique de la caméra !

En plein jour, la qualité d'image de la caméra est bonne. C'est un bon point. De nuit, il y a une perte notable de la qualité d'image.

E. Les scénarios et l'automatisation

La caméra Camini Air, à l'instar des autres produits Konyks, est compatible avec le système de scénarios et d'automatisation. Ceci est particulièrement intéressant si vous avez plusieurs objets connectés pour créer des interactions entre eux, en fonction des états.

Par exemple, vous pouvez créer le scénario suivant : "Lorsqu'un mouvement est détecté sur la caméra Camini Air, allumer la lumière du jardin et du salon", ceci dans le but de simuler une présence immédiate.

Ou encore celui-ci : "Lorsqu'un mouvement est détecté sur la caméra Camini Air, fermer tous les volets de la maison" afin d'empêcher l'accès aux fenêtres.

IV. Conclusion

Simple à installer et à configurer, même si l'on aimerait avoir un peu plus d'explications sur certains paramètres, la caméra Konyks Camini Air se montre convaincante. La détection fonctionne bien, y compris le filtre sur les humains (qui est une nouvelle fonctionnalité), et elle s'intègre parfaitement à une installation existante grâce à la possibilité d'utiliser les scénarios Konyks.

L'ajout du panneau solaire est important, car il va éviter de recharger la caméra tous les 3 mois et il va permettre de profiter d'utiliser une énergie renouvelable. Par ailleurs, je trouve dommage qu'il n'y ait pas une carte microSD incluse (8 Go, par exemple) ou une petite mémoire interne afin d'éviter ce surcoût.

Pour rappel, la caméra seule est vendue 99,90 euros : c'est un prix correct, par rapport aux fonctionnalités proposées et à la concurrence. Pour 20 euros de plus, vous pouvez bénéficier d'un kit complet avec le panneau solaire inclus, en plus de la caméra.

The post Test Konyks Camini Air : une caméra sans-fil accompagnée par un panneau solaire externe first appeared on IT-Connect.

Un gang de cybercriminels exploite une nouvelle faille de sécurité zero-day dans la solution SysAid, leur permettant d'accéder aux serveurs de l'entreprise dans le but de chiffrer et d'exfiltrer les données avec le ransomware Clop. Faisons le point sur cette menace.

Pour ceux qui ne connaissent pas SysAid, il s'agit d'une solution de type ITSM, c'est-à-dire une solution de gestion de service informatique, au même titre que GLPI.

Le 2 novembre 2023, l'équipe Microsoft Threat Intelligence a fait la découverte de cette campagne d'attaques initiée par un groupe de cybercriminels nommé Lace Tempest. En exploitant cette vulnérabilité désormais associée à la référence CVE-2023-47246, les pirates parviennent à compromettre des serveurs dans le but de déployer le ransomware Clop.

D'après SysAid, il s'agit d'une vulnérabilité de type "path transversal" qui permet à l'attaquant d'exécuter du code malveillant sur le serveur. Ainsi, Lace Tempest a exploité cette faille zero-day pour télécharger une archive WAR (Web Application Resource) contenant un webshell, à la racine du serveur Tomcat (dans la "webroot"). Ceci permet ensuite d'exécuter des scripts PowerShell supplémentaires pour charger plusieurs souches malveillantes et divers outils (notamment GraceWire et Cobalt Strike).

Le ransomware Clop est particulièrement redoutable et ce gang est connu pour exploiter des failles de sécurité zero-day au sein de solutions populaires. Nous avions eu un excellent exemple avec MOVEit Transfer, et ceci se confirme aujourd'hui avec SysAid.

SysAid : un correctif de sécurité est disponible !

SysAid a déployé un correctif en urgence pour corriger la faille de sécurité CVE-2023-47246. Pour vous protéger, vous devez installer la version SysAid 23.3.36 (ou supérieur), comme l'indique SysAid dans son bulletin d'alerte.

Au-delà d'installer ce correctif, vous pouvez effectuer un ensemble d'actions pour détecter un éventuel signe de compromission sur votre serveur. Par exemple, vous devez vérifiez la racine web Tomcat du serveur SysAid à la recherche de fichiers inhabituels et suspects, notamment des fichiers WAR, ZIP ou JSP dont l'horodatage est anormal. Par ailleurs, regardez s'il y a des flux sortants à destinations des serveurs C2 des cybercriminels dont voici les adresses IP :

• 81.19.138[.]52
• 45.182.189[.]100
• 179.60.150[.]34
• 45.155.37[.]105

Source

The post Une faille zero-day dans SysAid est exploitée au sein d’attaques avec le ransomware Clop ! first appeared on IT-Connect.

La mise à jour d'octobre 2023 pour Windows Server 2022 a causé des sueurs froides à certains administrateurs système : certaines VM ne voulaient plus démarrer sur les hôtes VMware ESXi ! Microsoft avance sur la résolution de ce problème et nous propose une solution temporaire.

• Les VM ne démarrent plus après l'installation des mises à jour d'octobre 2023 !

Microsoft a reconnu l'existence d'un problème entre certains hyperviseurs VMware ESXi et les machines virtuelles (VM) Windows Server 2022. Si vous avez des hyperviseurs sous VMware ESXi et que vos machines virtuelles ne parviennent plus à démarrer après l'installation de la mise à jour cumulative d'octobre 2023, lisez bien ce qui suit.

D'après Microsoft, l'installation de la mise à jour KB5031364 sur Windows Server 2022 crée des problèmes uniquement sur les hôtes VMware ESXi : "Les machines virtuelles affectées recevront une erreur avec un écran bleu et le code Stop : PNP DETECTED FATAL ERROR", précise Microsoft.

Toujours d'après les informations fournies par l'entreprise américaine, cette erreur se produit uniquement avec la configuration suivante :

• Un processeur physique AMD Epyc
• Le paramètre "Expose IOMMU to guest OS" dans les options de la VM
• La fonction "Enable Virtualization Based Security" activée dans les paramètres de Windows Server 2022
• La fonction "System Guard Secure Launch" activée dans les paramètres de Windows Server 2022

Comment résoudre cette erreur ?

Nous en savons plus, c'est une bonne chose, mais comment résoudre cette erreur ? Pour l'instant, il n'y a pas de correctif, mais il pourrait être disponible dans les prochains jours : "Nous travaillons sur une résolution et estimons qu'une solution sera disponible à la mi-novembre 2023.", précise Microsoft. À suivre, donc !

En attendant, les administrateurs système ont deux options :

• Désinstaller la mise à jour KB5031364, ce qui est un peu l'option par défaut
• Désactiver le paramètre "Expose IOMMU to guest OS" dans les options de la VM, même si cela ne sera pas forcément applicable sur tous les environnements. En principe, si la mise à jour est installée et que vous désactivez ce paramètre, la VM fonctionnera normalement.

The post VMware ESXi – Vos VM Windows Server 2022 ne démarrent plus avec la KB5031364 ? Lisez cet article ! first appeared on IT-Connect.