I. Présentation

Le service de gestion des mises à jour de Microsoft, à savoir WSUS (Windows Server Update Services), est capable de gérer les mises à jour d'une grande majorité de produits de chez Microsoft, y compris Windows 10. Lorsque l'on configure son serveur de mises à jour, il est nécessaire de sélectionner les catégories de produits pour lesquels on souhaite recevoir des mises à jour.

Windows 10 est bien sûr présent dans cette liste, mais il n'est pas présent qu'une seule fois : il y a une multitude de produits correspondants à Windows 10, aux différentes branches, aux différentes versions.

Dans cet article, je vais tenter de vous éclairer sur le sujet pour être en mesure de sélectionner les catégories de produits Windows 10 correspondantes à vos besoins.

📌 Historique des versions de Windows 10

II. WSUS et Windows 10

Pour commencer, nous allons lister les différents types de catégories proposées au sein de WSUS et associées à Windows 10.

- Windows 10 :

Cette catégorie correspond à toutes les mises à jour, y compris les correctifs de sécurité, pour Windows 10 jusqu'à la version 1903.

- Windows 10, version 1903 and later :

Cette catégorie correspond à toutes les mises à jour pour Windows 10 à partir de la version 1903. Cela signifie que cette catégorie sert à récupérer également les mises à jour pour la version 2004 (dernière en date à l'heure où j'écris ces lignes).

- Windows 10, version 1903 and later, Update & Servicing Drivers

Cette catégorie contient les mises à jour et les pilotes Windows 10 pour les différents scénarios d'installation (Gestionnaire de périphériques, Dynamic Update, Orchestrator) pour Windows 10 v1903 et les prochaines versions. Dans le même esprit, la catégorie "Windows 10, Anniversary Update and Later Servicing Drivers" fournit la même chose mais uniquement pour la version "Anniversary Update" (v1607) de Windows 10. Avant la version v1903, Microsoft sortait une catégorie spécifique pour chaque version de Windows 10, ce qui a généré un joli bazar dans les catégories WSUS pour Windows 10...

- Windows 10, version 1903 and later, Servicing Drivers

Dans le même esprit que la catégorie précédente mais seulement pour les pilotes. J'en profite pour vous signaler que le stockage des drivers peut s'avérer très volumineux en espace disque.

- Windows 10 LTSB :

LTSB signifie Long Term Servicing Branch, cela fait référence au canal de maintenance à long terme de Windows 10 à destination des versions spécifiques "Windows 10 Entreprise LTSC". La première version de ce type est la version 1507 de Windows 10, lancée en 2015.

Plus d'informations sur cette version si cela vous intéresse :

📌 Windows 10 LTSC

📌 Windows 10 LTSC 2019

- Windows 10 Language Packs :

Catégorie faisait référence à l'obtention des packs de langues par l'intermédiaire de WSUS.

- Windows 10 Language Interface Packs :

Mises à jour des packs de langue notamment pour l'interface de Windows.

- Windows 10 Dynamic Update :

La catégorie Dynamic Update est utile pour faciliter les mises à niveau de Windows 10. Dynamic Update va permettre de récupérer les mises à jour dont le poste à besoin et réaliser l'installation en une seule fois plutôt que de passer par plusieurs étapes, dans le but d'optimiser l'installation de l'upgrade.

- Windows 10 GDR-DU :

Comprenez "General Distribution Release – Dynamic Update", cela fait référence à Dynamic Update mais seulement pour la version "en cours" de Windows 10 alors que Dynamic Update (catégorie précédente) est plus global puisque ça s'applique à toutes les versions de Windows 10.

- Windows 10 GDR-DU LP :

La même chose pour les packs de langue cette fois-ci.

- Windows 10 GDR-DU FOD :

La même chose pour les "Fonctionnalités à la demande" (Feature On Demand)

- Windows 10 Feature On Demand :

Sous Windows 10, certaines fonctionnalités sont préchargées mais pas installées, il s'agit de ce que l'on trouve ici dans Windows 10 : Paramètres – Applications et fonctionnalités – Fonctionnalités facultatives. Dans la majorité des cas, les sources de ces fonctionnalités sont disponibles en local (en tout cas par défaut) puisqu'elles sont stockées sur le poste suite à l'installation.  L'objectif ici est de récupérer certaines fonctionnalités par WSUS, notamment le fameux .NET Framework 3.5.

III. Configurer les catégories dans WSUS

Vous devez commencer par ouvrir la console WSUS, puis sur la gauche sous votre nom de serveur, cliquez sur "Options". Cliquez ensuite sur "Produits et classifications".

C'est directement dans l'onglet "Produits" qu'il va falloir choisir les produits pour lesquels vous souhaitez récupérer et diffuser les mises à jour. Pour Windows 10, référez-vous aux informations ci-dessous pour faire votre choix 😉

The post WSUS - Classifications : quels produits Windows 10 choisir ? first appeared on IT-Connect.

Le secrétaire d'État au numérique a fait la déclaration suivante : « La fibre doit être un service essentiel ». Il a ensuite parlé de service universel, c'est-à-dire que la fibre serait un service accessible à tous, au même titre que l'eau, le téléphone ou encore l'électricité.

Il y a encore du travail pour en arriver-là : les inégalités d'accès au Très Haut Débit sont réelles et il faudra encore quelques années pour équilibrer la balance. Le confinement a également mis en évidence cette inégalité sur le territoire. Quoi qu'il en soit, les opérateurs effectuent un démarchage progressif auprès de la population au fur et à mesure que les kilomètres de fibre sont déployés. Aujourd'hui, de nombreux opérateurs proposent des abonnements internet fibre avec bien souvent une réduction la première année sur le prix de l'abonnement mensuel.

Cet engagement de la part du gouvernement n'est pas anodin et montre que l'État veut mettre la fibre à disposition de tous les Français. Autant pour les zones denses, cela semble évident et attractif pour les opérateurs, alors qu'à l'inverse dans les zones peu denses, c'est nettement moins attractif. L'État devra subventionner encore davantage pour atteindre son objectif de service universel.

A la base, l'objectif était de fournir d'ici 2022 un accès Internet Très Haut Débit via une fibre FttH pour 80% des Français. Pour les 20% restants, cet accès à l'Internet THD était prévu par l'intermédiaire d'autres technologies, y compris la 5G. Contrairement à son prédécesseur, le nouveau secrétaire d'État au numérique se montre très ambitieux sur le sujet.

Peu de temps avant cette annonce, le Sénat dressait un constat alarmant au sujet de la pollution numérique. En effet, nos usages numériques ne sont pas sans conséquence sur l'environnement : digitaliser ne signifie pas forcément que la pollution sera réduite. D'ailleurs, les sénateurs affirment que d'ici 2040, la pollution engendrée par le secteur numérique pourrait représenter 7% des émissions mondiales de CO2. Aujourd'hui, elle représente 2% : si elle atteint réellement 7%, elle pourrait dépasser la pollution liée au trafic aérien mondial.

C'est suite à ce constat alarmant que les sénateurs évoquaient l'idée d'interdire les forfaire mobiles illimités. Là où les sénateurs et le secrétaire d'État au numérique sont sur la même longueur d'onde, c'est sur la fibre : il est préférable d'étendre le réseau fibre optique plutôt que d'accélérer le déploiement de la 5G. Décidément, la 5G continue de faire débat.

The post La fibre : le nouveau service universel ? first appeared on IT-Connect.

L'Agence nationale de la sécurité des systèmes d'information a diffusé un nouveau guide sur la gestion des attaques de ransomware, où l'on retrouve les bonnes pratiques pour gérer ce type de crise.

Ce n'est pas nouveau : les ransomwares font les gros titres depuis plusieurs années, et ce fût le cas encore cet été. Il y a eu différentes attaques importantes ces derniers mois impliquant un ransomware. Nous pouvons citer l'attaque qui a paralysé les services de Garmin, Bouygues Construction en France ou encore la métropole d'Aix-en-Provence.

Suite à ces nouvelles attaques importantes, l'ANSSI a décidé de publier un nouveau guide de 21 pages intitulé "Attaques par rançongiciels, tous concernés. Comment les anticiper et réagir en cas d'incident ?".

Il y a quelques années, les ransomwares étaient diffusés largement au travers des e-mails sans savoir qui seraient réellement touchés. Aujourd'hui, les choses ont changé : des groupes cybercriminels ciblent des entreprises spécifiques et ayant des moyens financiers importants. Le nombre d'attaques évolue également : en 2019, l'ANSSI est intervenue sur 69 incidents, contre 104 depuis le début de l'année 2020. Et encore, ce chiffre tient compte seulement des incidents sur lesquels l'ANSSI est venue en renfort.

Les sauvegardes ne représentent plus la réponse parfaite à une attaque par ransomware. Voici un extrait très intéressant du guide de l'ANSSI : « Il s’agit de garder à l’esprit que ces sauvegardes peuvent aussi être affectées par un rançongiciel. En effet, de plus en plus de cybercriminels cherchent à s’en prendre aux sauvegardes pour limiter les possibilités pour la victime de retrouver ses données et ainsi maximiser les chances qu’elle paie la rançon. Ces sauvegardes, au moins pour les plus critiques, doivent être déconnectées du système d’information pour prévenir leur chiffrement, à l’instar des autres fichiers. L’usage de solutions de stockage à froid, comme des disques durs externes ou des bandes magnétiques, permettent de protéger les sauvegardes d’une infection des systèmes et de conserver les données critiques à la reprise d’activité. »

Pour réduire le risque d'attaque, il est indispensable d'avoir une stratégie de sauvegarde adaptée, mais le guide mentionne également les recommandations suivantes : maintenir à jour les systèmes et les logiciels, y compris l'antivirus, de cloisonner le système d'information, de gérer les droits des utilisateurs, de maîtriser l'accès à Internet, etc.

N'oubliez pas : « Le paiement ne garantit pas l’obtention d’un moyen de déchiffrement, incite les cybercriminels à poursuivre leurs activités et entretient donc ce système frauduleux »

📌 Guide ANSSI - Ransomware

The post L'ANSSI : un nouveau guide sur la gestion des attaques de ransomware first appeared on IT-Connect.

Le navigateur Firefox sera équipé d'une nouvelle fonction de sécurité en octobre prochain. En effet, Mozilla veut protéger les utilisateurs de son navigateur contre le "drive-by download", car il n'est pas sans risque.

Les pages malveillantes s'appuient sur le "drive-by download" pour lancer automatiquement le téléchargement d'un fichier lorsque l'utilisateur arrive sur la page. Ce fichier malveillant se retrouve alors stocké sur le PC de l'utilisateur : un véritable danger, car l'ouverture de ce fichier pourrait infecter le PC cible. Pour protéger les utilisateurs contre les infections en provenance de la navigation Internet, cette nouvelle fonctionnalité a tout de la bonne idée.

Ce ne sera surement pas infaillible comme système de protection : les attaquants ne perdront pas de temps pour essayer de contourner la sécurité de Firefox. Bien que les navigateurs progressent, les attaquants arrivent à s'adapter pour outrepasser les protections du navigateur, que ce soit Firefox, Chrome ou un autre.

À partir de Firefox 82, les téléchargements initiés à partir d'un élément du type "sandboxed iframe" seront bloqués. Ces éléments sont utilisés pour charger des vidéos, podcasts ou des pistes audio, par exemple. Vous l'aurez compris, elles sont également utilisées pour lancement le téléchargement des fichiers malveillants.

Dans le même temps, les équipes de Safari travailleraient également sur une fonction de protection similaire. De son côté, Google Chrome avait décidé de bloquer ces téléchargements en mars 2019 avec la sortie de Chrome 73 avant de faire machine arrière avec Chrome 83, publié en mai 2020.

The post Firefox va vous protéger contre le drive-by download first appeared on IT-Connect.

I. Présentation

Microsoft travaille depuis plusieurs années pour supporter Linux sur sa plateforme de virtualisation Hyper-V. Aujourd'hui, il n'y a aucun problème à installer une distribution Linux au sein d'une VM Hyper-V.

Depuis que Windows Server 2016 est sorti, Microsoft a également intégré une extension du Secure Boot afin de prendre en charge Linux. 

Microsoft recense sur la page suivante les distributions compatibles sur Hyper-V : Compatibilité Linux et Hyper-V

Pour rappel, le Secure Boot (Démarrage sécurisé) sert à protéger le démarrage du système d'exploitation notamment en empêchant qu'un malware puisse injecter du code malveillant au démarrage afin de compromettre votre système. Des clés de chiffrement stockées dans la firmware sont utilisées pour sécuriser le boot de l'OS et si les vérifications se passent bien, alors l'UEFI va laisser le système démarrer. Accessible au sein des machines virtuelles, le Secure Boot est également inclus sur les ordinateurs fixes et portables.

• Quelles versions d'Hyper-V supportent le Secure Boot Linux ?

Le Secure Boot pour Linux est supporté depuis Hyper-V sous Windows Server 2016, mais également avec Hyper-V sous Windows 10 ainsi que Hyper-V Server 2016.

• Quelle génération pour la machine virtuelle ?

La machine virtuelle doit être de Génération 2 pour utiliser le Secure Boot. Ensuite, il faudra configurer la fonctionnalité dans les options de la VM.

Nous allons voir comment configurer le Secure Boot pour Linux au sein d'une VM Hyper-V. En effet, si la configuration est incorrecte, vous obtiendrez un message similaire à celui ci-dessous. "No operating system loaded. Your virtuel machine may be configured incorrectly..."

II. Configurer le Secure Boot pour Linux

Ouvrez le Gestionnaire Hyper-V et accédez aux paramètres de la machine virtuelle via un clic droit. Au préalable, la machine virtuelle doit être éteinte.

Sur la gauche, cliquez sur "Sécurité" et cochez l'option "Activer le démarrage sécurisé". Ensuite, sélectionnez le modèle "Autorité de certification UEFI Microsoft" (Microsoft UEFI Certificate Authority) sinon la VM ne pourra pas charger l'OS.

Cliquez sur "OK" pour valider la configuration. Au prochain démarrage, la distribution Linux va se lancer, car le Secure Boot est correctement configuré.

Cette configuration peut s'effectuer directement en PowerShell. Pour réaliser la même chose que ce que l'on vient de faire, pour une VM nommée "Debian10", cela donne :

Set-VMFirmware -VMName Debian10 -EnableSecureBoot On -SecureBootTemplate 'MicrosoftUEFICertificateAuthority'

Il ne reste plus qu'à démarrer la VM et à installer le système...

The post Hyper-V : utiliser le Secure Boot avec Linux first appeared on IT-Connect.