Microsoft a publié une nouvelle version de preview de l'API associée à Microsoft Graph et il y a une nouveauté particulièrement intéressante : la possibilité de gérer les mises à jour Windows et Windows Update via cette API.
L'API de Microsoft Graph permet aux développeurs de créer des applications qui accèdent à Microsoft 365, à Windows 10 et aux données de la suite Enterprise Mobility + Security.
D'après David Mebane, Principal Program Manager chez Microsoft, le fait de connecter les capacités de déploiements avec Microsoft Graph va permettre aux développeurs de créer des applications "plus intelligentes". Par exemple, on peut imaginer un outil qui va déployer des mises à jour en tenant compte des données intégrées au calendrier d'un utilisateur, dans le but d'installer les mises à jour sans le perturber.
En fait, David Mebane fait référence au service Cloud "Windows Update for Business" annoncé par Microsoft en mars 2021. Cet outil permet d'apporter plus de contrôle sur Windows Update et le déploiement des mises à jour. Que ce soit pour l'approbation, la planification, le monitoring ou la gestion de la sécurité sur les machines.
Il cite les fonctions suivantes liées à cette API :
Approuver et planifier l'installation de fonctionnalités spécifiques de Windows à partir de Windows Update
Créer des pools pour les déploiements des mises à jour, par exemple : déployer la mise à jour Windows 10 20H2 sur 500 machines par jour, à partir du 11 mai 2021
Eviter les problèmes suite aux mises à jour en s'appuyant sur un système de pilotes automatiques pour tester les mises à jour
Microsoft a annoncé que la première mise à jour majeure de l'année était prête ! Windows 10 21H1, appelé également Windows 10 May 2021 Update devrait être publié par Microsoft dans le courant du mois de mai.
C'est par l'intermédiaire d'un message publié par Brandon LeBlanc de chez Microsoft, que l'on a appris que la build 19043.928 correspondait à la version finale pour Windows 10 21H1. En fait, les membres du programme Windows Insiders testent déjà cette version depuis le 13 avril 2021.
Windows 10 21H1 : date de sortie ?
Pour le moment, Microsoft n'a pas précisé de date exacte quant à la sortie de cette version : on sait seulement que ce sera en mai. Ce qui est sûr, c'est que dans un premier temps la mise à jour sera proposée comme une mise à jour optionnelle. Il sera nécessaire de faire une recherche de mise à jour manuelle et de sélectionner la mise à jour pour l'installer, comme pour les fois précédentes. Des amateurs pour se lancer ?
Par la suite, la mise à jour sera déployée automatiquement sur les postes. Mais avant cela, il faut que certains soient volontaires pour installer la mise à jour et essuyer les plâtres comme on dit.
Elle est disponible en téléchargement, au format ISO, sur le site de Microsoft : Windows 10 21H1 - ISO
Windows 10 21H1 : quelles sont les nouveautés ?
Le moins que l'on puisse dire, c'est que ce n'est pas la version la plus excitante en termes de nouveautés... Les quelques nouveautés s'adressent plutôt aux entreprises. Par contre, la mise à jour de Windows 10 qui devrait être publiée en fin d'année devrait être beaucoup plus riches en changement, avec peut-être même l'intégration de l'interface Sun Valley pour Windows 10.
Windows Hello : il sera possible de choisir la caméra par défaut à utiliser pour l'authentification basée sur la reconnaissance faciale. Cela va permettre d'utiliser une caméra externe si vous le souhaitez.
Dans ce tutoriel, je vous propose de créer un dépôt local pour Chocolatey avec la mise en place de Chocolatey Server. La question que l'on peut se poser c'est : Pourquoi créer un dépôt local ?
Lorsque l'on utilise le gestionnaire de paquets Chocolatey pour déployer des logiciels sur un parc informatique, il faut savoir que chaque machine va récupérer les sources d'installation depuis le dépôt communautaire de Chocolatey, c'est-à-dire sur Internet. Ce mode de fonctionnement pourrait bien mettre à mal votre connexion à Internet, en fonction de votre débit, du nombre de paquets à installer et du nombre de machines ciblées.
Chocolatey propose plusieurs solutions pour héberger son propre dépôt de paquets, en local, dans le but de distribuer les paquets via son réseau local directement. Il y a la solution basique qui consiste à s'appuyer sur un simple partage de fichiers sur un serveur, mais elle n'est pas recommandée pour la production. En fait, les solutions sont nombreuses, gratuites ou payantes, plus ou moins rapides à mettre en place.
Vous l'aurez compris, pour ma part je me suis orienté vers la solution Chocolatey Server. Elle s'installe sur un serveur web IIS et nécessite un espace de stockage pour les paquets.
Pour rappel, dans un précédent tutoriel, nous avons vu comment déployer des logiciels avec Chocolatey. C'est l'occasion de voir comment installer Chocolatey sur vos postes clients, si vous ne savez pas comment faire .
II. Installation de Chocolatey Server sur IIS
Je vais réaliser l'installation sur ma VM nommée "SRV-ADDS-01", sous Windows Server 2019, et sans serveur IIS installé : nous partons de zéro. Avant de vous lancer tête baissée dans l'installation, prenez connaissance des prérequis suivants :
.NET Framework 4.6 minimum
Stockage : 50 Go (tout dépend de la quantité de paquets)
RAM : 8 Go
Dernières mises à jour Windows installées sur le serveur
Pour la RAM et l'espace disque, ce n'est pas nécessaire d'en prévoir autant s'il s'agit d'un lab
A. Déploiement initial de Chocolatey Server
Pour mettre en place Chocolatey Server, on pourrait tout faire manuellement, mais pourquoi s'embêter puisque Chocolatey fournit un script d'installation. Je vous propose de récupérer le code ici :
Il existe une alternative qui consiste à mettre en place Chocolatey Server directement sur le même serveur IIS qu'un serveur WSUS. Dans ce cas, il y a quelques spécificités, je vous invite à consulter cette page : WSUS - Chocolatey Server
Exécutez le script sur votre serveur, cela aura pour conséquences :
D'installer le rôle IIS (et ASP .NET),
D'installer Chocolatey Server dans le dossier suivant : C:\tools\chocolatey.server
Créer le site "ChocolateyServer" dans IIS
Créer le pool d'applications "ChocolateyServerAppPool" dans IIS
Désactiver le site par défaut de IIS
Gérer les ACL sur le dossier du site Chocolatey
Dans la console IIS, à savoir "Gestionnaire des services Internet (IIS)", on se retrouve avec notre nouveau site :
Maintenant, il est temps de passer à la suite : la configuration avancée du site et du pool d'applications pour optimiser les performances, d'après les recommandations de Chocolatey.
B. Configuration avancée du site Chocolatey Server
Ouvrez une console en tant qu'administrateur et exécutez la commande suivante pour activer le module "Initialisation d'application" disponible depuis IIS 8.0.
Ensuite, dans la console IIS, accédez à "Pools d'applications" et effectuez un clic droit sur "ChocolateyServerAppPool" puis "Paramètres avancés".
Modifiez deux paramètres :
Mode de démarrage : AlwaysRunning
Délai d'inactivité (que l'on désactive) : 0
Toujours dans le même menu, descendez... vous devriez trouver le paramètre suivant :
Intervalle de temps régulier : 0
Validez... Ensuite, on va modifier les paramètres du site : clic droit sur "ChocolateyServer" > "Gérer le site web" > "Paramètres avancés". Configurez le paramètre suivant :
Préchargement activé : True
Recharger le site pour prendre en compte la nouvelle configuration, via un clic droit.
Pour des raisons de sécurité, je vous recommande de mettre en place le HTTPS avec un certificat SSL pour le site Chocolatey. Dans cet exemple, le site est simplement en HTTP.
Le site en lui-même est prêt, d'ailleurs si vous accédez à "http://localhost" depuis le serveur où est installé Chocolatey Server, vous devez obtenir la page suivante :
Page d'accueil du site Chocolatey Server
C. Modification de l'API Key de Chocolatey Server
La configuration du site IIS de Chocolatey Server intègre plusieurs paramètres, notamment un paramètre nommé "apiKey" : cette valeur correspond à un mot de passe qui sera nécessaire pour publier un paquet dans notre dépôt local.
La valeur par défaut est "chocolateyrocks", il est recommandé de la modifier. Pour cela, éditez le fichier suivant :
C:\tools\chocolatey.server\web.config
Ensuite, recherchez l'option "apiKey" dans le fichier et modifiez la valeur du champ "value". Par exemple, j'ai mis "itconnect" dans cet exemple.
Modification de l'option "apiKey" dans le fichier web.config
Enregistrez le fichier et fermez-le.
III. Ajouter un paquet sur notre dépôt local Chocolatey Server
Notre dépôt local est opérationnel, il est temps de l'alimenter en venant publier un premier paquet. Pour cela, deux cas de figure :
Vous avez une licence Chocolatey Pro, Architect ou Business (C4B) et dans ce cas vous pouvez utiliser la commande "choco download" pour récupérer facilement un paquet sans l'installer
Vous utilisez Chocolatey en version communautaire (comme moi) et vous n'avez pas accès à cette commande : ce sera un peu plus pénible, mais ça va !
Prenons un paquet pour exemple : le navigateur Brave. Nous devons accéder au catalogue d'applications Choco, accessible à l'adresse suivante : Chocolatey Packages - Brave
Une fois sur la page du paquet, descendez dans la page... Sur la gauche, vous allez trouver un bouton "Download" pour télécharger le paquet au format ".nupkg" : cliquez dessus.
Télécharger un paquet Chocolatey manuellement, au format NUPKG
Depuis votre serveur, ou un poste client avec Chocolatey installé, nous allons maintenant publier le paquet Brave dans notre dépôt local.
Ouvrez une console, positionnez-vous dans le dossier où se situe le fichier NUPKG (via Set-Location ou cd) et exécutez la commande suivante :
La commande "choco push" sert à publier un paquet. Ensuite, pour les paramètres :
Le paramètre --source sert à préciser notre dépôt local, du coup on indique le nom complet du serveur (avec le domaine de préférence) en terminant par "/chocolatey"
Le paramètre --api-key sert à préciser le mot de passe pour accéder à l'API, rappelez-vous de ce que vous avez défini dans le fichier web.config du site
Le paramètre --force sert à forcer la publication du paquet malgré que la connexion soit en HTTP
Publication d'un paquet avec choco push
IV. Installer un paquet Chocolatey depuis le dépôt local
L'application étant publiée sur notre serveur Chocolatey, il faut que l'on configure le poste client pour utiliser notre dépôt local comme source pour le téléchargement du paquet. Je bascule sur une seconde VM, sous Windows 10...
On va commencer par supprimer le dépôt communautaire de la liste des dépôts de notre machine. L'idée c'est d'utiliser exclusivement les paquets mis à disposition dans notre dépôt.
choco source remove --name="'chocolatey'"
Ensuite, nous allons ajouter notre dépôt local et lui associer la priorité la plus forte, c'est-à-dire "1" car la valeur "0" signifie "pas de priorité". Il faut nommer le dépôt, dans mon cas "choco-itconnect", ce qui donne :
Dans la commande ci-dessus, modifiez seulement le nom du dépôt (--name) et le lien vers votre dépôt local (--source). Vous remarquerez que la clé d'API n'est pas précisée : c'est normal, ce n'est pas utile pour lire le dépôt.
Si vous utilisez une version sous licence de Chocolatey (et seulement dans ce cas !), exécutez la commande suivante pour mettre à jour la licence sur le poste :
choco upgrade chocolatey.extension-y--pre
La suite, c'est du classique puisque l'on va tout simplement lancer l'installation du paquet :
choco install brave
L'installation va s'effectuer à partir de notre dépôt local ! Pour valider la configuration, j'ai isolé mes deux machines virtuelles dans un réseau virtuel sans accès à Internet .
Installation d'un paquet Chocolatey à partir d'un dépôt local
Il est possible d'aller plus loin dans la configuration des postes clients, mais il faut une licence payante. Par exemple, cela permettrait d'activer la fonction "Package Reducer" pour réduire le poids des paquets, ou encore la fonction "Runtime Malware Protection" pour se protéger contre les paquets malveillants en se basant sur VirusTotal.
V. Ajouter le dépôt Chocolatey officiel en secondaire
Notre dépôt local est déterminé en tant que dépôt prioritaire et pour le moment, c'est le seul déclaré sur notre poste client. On peut positionner le dépôt officiel (communautaire) en tant que dépôt secondaire en jouant sur la priorité.
Pour lister les dépôts déclarés sur une machine :
choco sources list
Ensuite, avec la commande "choco source add", on va ajouter le dépôt officiel :
Si on liste de nouveau les sources disponibles, il y en a bien deux. Lorsque vous allez rechercher un paquet via la commande "choco search", la recherche va s'appuyer sur les deux dépôts.
Ajouter le dépôt officiel de Chocolatey en tant que dépôt secondaire
Tout est prêt, il ne reste plus qu'à alimenter le dépôt local Chocolatey Server et en profiter !
Apple a corrigé deux failles Zero-Day exploitées par les hackers et qui touchent macOS et iOS, iPadOS mais aussi watchOS. Ces deux failles critiques sont référencées CVE-2021-30657 et CVE-2021-30661.
Si vous avez un ou plusieurs appareils Apple, il est temps de faire une session de maintenance pour faire les mises à jour ! D'autant plus que la faille qui touche macOS est exploitée par un malware bien connu sur Mac : Shlayer. En janvier 2020, Kaspersky avait publié un rapport où il était mentionné que Shlayer avait attaqué 10% des Mac.
Voici ce qu'il faut savoir sur ces deux vulnérabilités...
CVE-2021-30657 : macOS
Cette première vulnérabilité touche toutes les versions de macOS supérieures ou égales à la version 10.5. Elle permet de contourner l'intégralité des contrôles de sécurité qui se déclenchent lorsque l'utilisateur télécharge un fichier depuis Internet. Une aubaine pour les pirates puisqu'il devient plus facile de passer entre les mailles du filet en exploitant cette vulnérabilité.
Lorsque l'on parle de "contrôles de sécurité" sur macOS, on fait référence à la vérification de la signature du développeur via Gatekeeper, la mise en quarantaine et l'analyse de malware. En complément, cela permet de passer au travers du système de notarisation d'Apple qui permet d'analyser et de signer les applications, afin qu'une application sûre soit certifiée par ce mécanisme de protection.
CVE-2021-30661 : iOS, iPadOS, watchOS
Cette seconde vulnérabilité touche le module de stockage de WebKit, ce dernier étant le moteur de rendu utilisé dans Safari. Finalement, plusieurs systèmes sont touchés par cette faille iOS, iPadOS, et watchOS. L'exploitation de cette faille permet au pirate d'exécuter du code malveillant sur l'appareil distant à l'aide d'une page spécialement conçue.
De nombreux appareils sont concernés : tous les iPad Pro, les montres connectées Apple Watch Série 3 (et supérieur), iPhone 6S (et supérieur), iPad Air 2 (et supérieur), iPad 5 (et supérieur), iPad Mini 4 (et supérieur) et enfin l'iPod Touch 7ème génération.
En complément, Apple a corrigé d'autres failles de sécurité moins critiques à l'occasion de la publication de ces nouvelles mises à jour. En tout cas, depuis novembre dernier, Apple a corrigé 9 failles Zero-Day au sein de ses OS.
Ce mardi, Microsoft Teams a été victime d'une nouvelle panne à l'échelle mondiale : l'utilisation du chat et des visioconférences était très perturbée. Que s'est-il passé ?
En France, vous avez pu ressentir cette panne entre 12h et 14h30, ensuite le service a été rétabli par Microsoft. Dans le cas où le problème persistait, il fallait redémarrer son client Teams, d'après Microsoft.
Cette panne a eu des conséquences sur le fonctionnement de Microsoft Teams puisqu'il n'était plus possible :
D'envoyer et recevoir des messages par chat
De rejoindre une nouvelle conversation ou un canal
De visualiser certains canaux dans le client Teams
De se connecter à Teams
D'utiliser les fonctions de visioconférences
Autrement dit, on ne pouvait plus faire grand-chose ! En début d'après-midi, Microsoft a pu identifier la cause du problème : un changement de configuration récent qui s'est traduit par l'utilisation d'une valeur incorrecte dans certaines fonctionnalités. Cette fameuse valeur incorrecte aura bien mis le bazar auprès des utilisateurs.
Microsoft a communiqué sur Twitter au sujet de cet incident TM252802.
We’re investigating an issue with Microsoft Teams impacting Europe and Asia. For more details please follow TM252802 in the admin center.
Sur le site Down Detector, on voit bien l'impact de cette panne en France :
En début de mois, il y avait déjà eu une panne qui empêchait de se connecter sur Teams et d'autres services tels que Xbox Live, Office, SharePoint Online, Intune, Dynamics 365, OneDrive, PowerBI, PowerApps, etc. La cause de cette panne était différente : un pic de charge au niveau des serveurs DNS Azure.
.
CVE-2021-30657 : macOS