I. Présentation

Ce tutoriel a pour objectif d’expliquer la configuration à mettre en place pour centraliser les journaux de serveurs Windows, le tout en passant par l’observateur d’événements, un outil disponible nativement sous Windows. Le but est d’avoir un serveur collecteur et des serveurs sources, avec un transfert des événements (logs) des serveurs sources vers le serveur collecteur.

Pour ceux qui doutent encore de l’utilité de la centralisation des logs, je vous invite à lire cet article de Mickaël : Centraliser les logs.

Suite à cette configuration, vous serez en mesure de visualiser tous les événements (ou une partie selon le filtre appliqué) de vos serveurs sources depuis la console Observateur d’événements du serveur collecteur.

Pour ma part, j’utilise deux serveurs sous Windows Server 2012 R2, l’un sera le collecteur (WIN12DC), l’autre l’ordinateur source (SCORC), au sein du domaine labo.fr.

II. Informations importantes

Avant de passer à la pratique, voici quelques informations importantes que je souhaite vous partager :

• WinRM : ce protocole de gestion à distance propre à Windows et très utilisé par de nombreux services (exemple : connexion PowerShell à distance sur une machine) dont la collecte des événements, puisque c’est grâce à lui que s’effectue la communication entre les hôtes.

• Lecteurs des journaux d’événements : ce groupe est présent localement sur chaque machine Windows, et les membres de ce groupe disposent d’une autorisation de lecture au sein des journaux d’événements de la machine locale.

• Abonnements : lorsque le serveur collecteur souhaite recevoir les événements de la part de serveurs sources, on parlera d’un abonnement. Autrement dit, le collecteur s’abonne à un serveur pour en recevoir les événements.

• Le service “Collecteur d’événements de Windows” : ce service doit être démarré sur le collecteur pour permettre la gestion des abonnements et la collecte des événements.

III. Serveur source : activer WinRM

Sur chaque serveur source, WinRM doit être activé. C’est peut-être déjà fait, auquel cas vous pouvez passer cette étape, sinon je vous invite à saisir la commande ci-dessous dans une invite de commandes :

winrm quickconfig

Cette commande démarre le service de gestion à distance et effectue une configuration de base du service. Pour une configuration plus poussée ou une activation par GPO, je vous oriente vers mes deux tutoriels :

– Activer WinRM par GPO sous Windows Server
– PowerShell remoting avec WinRM

IV. Serveur source : autorisation de lecture

Sur chaque serveur source, il est nécessaire que le compte ordinateur dans l’Active Directory correspondant au serveur collecteur (c’est à dire nommé SCORC) soit ajouté au groupe “Lecteurs des journaux d’événements“. Ceci lui permettra de disposer des autorisations nécessaires pour collecter les événements.

Là encore, cette opération peut être configurée par GPO (ou via un script), ce qui sera intéressant si vous avez énormément de serveurs à configurer. Vous pouvez vous inspirer de ce tutoriel : Définir un administrateur local de tous les PCs

Commencez par accéder à la console de gestion de l’ordinateur (Raccourci “Touche Windows + X” et “Gestion de l’ordinateur“). Sous “Utilisateurs et groupes locaux“, cliquez sur “Groupes” puis double cliquez sur “Lecteurs des journaux d’événements“.

Par défaut, ce groupe n’a pas de membre. Pour en ajouter un, cliquez sur “Ajouter“. Cliquez sur “Types d’objets” pour que l’on indique que l’on recherche un objet de type ordinateur car ce n’est pas intégré dans le filtre par défaut.

Cochez “des ordinateurs” et éventuellement décochez les autres types.

Maintenant, dans la zone “Entrez les noms des objets à sélectionner” saisissez le nom du serveur collecteur, dans mon cas “WIN12DC” et cliquez sur “Vérifier les noms” puis validez.

Le serveur doit apparaître dans la liste des membres, comme ceci :

Cette partie de la configuration est terminée, passons à la suite !

V. Serveur collecteur : créer un abonnement

Dernière étape de la configuration : la création d’un abonnement pour récupérer les journaux du serveur SCORC depuis le serveur WIN12DC. On se connecte sur le serveur collecteur, et on accède à la console Observateur d’événements.

Sur la gauche, vous trouverez une section “Abonnements“, effectuez un clic droit dessus puis “Créer un abonnement“.

Un message d’avertissement s’affiche quant au service “Collecteur d’événements Windows” qui n’est pas démarré ni exécuté. Cliquez sur “Oui” pour initier le démarrage.

Il faut maintenant configurer l’abonnement, donnez-lui un nom par exemple le nom du serveur si l’abonnement est global au serveur. N’hésitez pas à mettre un nom précis si vous envisagez d’avoir une multitude d’abonnements. Remplissez la description également pour en savoir un peu plus sur cet abonnement.

Pour la destination des événements, vous devez sélectionner le journal de destination sur le collecteur. Le journal “événements transférés” semble le plus adapté et est conçu pour cela. Néanmoins, vous pouvez choisir un autre journal pour mélanger les événements transférés avec les événements locaux. Les vues personnalisées pourront ensuite permettre de dissocier les serveurs.

Pour le type d’abonnement, il y a deux choix, soit c’est le collecteur qui fournit l’abonnement aux ordinateurs sources, soit c’est les ordinateurs sources qui vont venir chercher la configuration auprès du collecteur (ceci nécessite une GPO particulière).

Pour ma part, je choisis d’initier depuis le collecteur, il faut alors que j’indique le serveur ciblé (ou les serveurs…) par cet abonnement. Cliquez sur “Sélectionner des ordinateurs” puis il faut ajouter le serveur source à la liste, comme “SCORC.labo.fr“.

Pour le champ “événements à recueillir” on doit indiquer les événements que l’on souhaite récupérer sur le serveur source. Attention, il ne faut pas sélectionner trop de journaux sinon ça risquerait de représenter une charge trop importante.

Pour ceux qui connaissent, cette fenêtre est identique à celle que l’on configure lorsque l’on crée une vue personnalisée. Utilisez les différents champs pour effectuer votre sélection.

Il est à noter qu’il n’est pas obligatoire de récupérer tous les événements d’un serveur, on peut filtrer comme on le souhaite. Par exemple, on pourrait imaginer récupérer uniquement les événements dont l’ID est 5000.

Si vous choisissez trop de journaux, vous obtiendrez l’avertissement suivant :

Enfin, cliquez sur “Avancé” en bas à droite de la fenêtre de propriétés de l’abonnement. On laissera “Compte d’ordinateur” puisque c’est à lui que l’on a donné les droits sur le serveur source. Par ailleurs, par défaut le protocole HTTP via WinRM est utilisé, si vous souhaitez protéger les flux de transferts sélectionnez “HTTPS”. Ceci implique que WinRM soit configuré correctement pour communiquer en HTTPS.

Validez la création de votre abonnement qui devrait apparaître dans la liste des abonnements sur le collecteur :

En faisant un clic droit sur l’abonnement est “État d’exécution” vous pourrez voir si l’abonnement est actif ou en erreur.

Si l’état est actif alors le transfert d’événements doit fonctionner (à condition qu’il y ait un événement à transférer). Au niveau de la section “Événements transférés” – ou un autre journal selon votre config – sur le collecteur on voit qu’un événement apparaît en provenance de l’ordinateur “SCORC.labo.fr“. La configuration fonctionne !

Ce tutoriel est terminé. Pour ceux qui souhaitent scripter la création d’abonnements, il est possible d’utiliser l’outil “Wecutil” disponible nativement en ligne de commande sous Windows.

Technet Wecutil

L’information est la chose la plus sensible dans une entreprise, pas question de la perdre à cause d’une surcharge d’électricité, une inondation ou une attaque informatique. Les plans PRA/PCA sont alors une solution, la réplication des données et les backups également.

Une copie vers un datacenter secondaire dans l’entreprise, une troisième copie dans le datacenter d’une agence importante et surtout géographiquement distincte du SI principal, et pourquoi pas une quatrième dans un stockage déconnecté et hors réseau.

Une question se pose alors : combien de fois la donnée est-elle dans le même exemplaire dans la totalité du système d’information ?

La problématique actuelle de ce grand nombre de copies d’un même ensemble de fichiers est que cela prend de la place, et même beaucoup. En effet, certaines entreprises traitent plusieurs dizaines/centaines de téraoctets d’information, tout aussi importante dans le système de sauvegarde . Le sujet est alors de parler de déduplication des données. Plusieurs techniques existent et d’autres voient le jour. Celles-ci ont alors pour objectif de réduire la place que peut prendre la multiplication des sauvegardes dans un système d’information.

La déduplication peut alors être effectuée en ligne, après ou pendant l’envoi sur le système de stockage ou alors directement sur le système de stockage final, cela requiert alors des ressources de traitements à prévoir.

La problématique du DSI est de mettre en place le bon système de sauvegarde dans son SI. L’article de la Revue de l’IT ” Déduplication : adieu, copies inutiles ? ” vous aidera à trouver des solutions pour réduire le volume de vos données.

I. Présentation

A l’air du cloud, de la dématérialisation, du “je ne sais pas où sont mes données”, certaines de ces données ont tout intérêt à rester très proche de vous, voir directement dans votre poche.

Et il est même préférable de prévoir le jour où elles en sortiront par inadvertance. Aujourd’hui, nous allons créer une clé USB chiffrée via le système de chiffrement de disque LUKS (Linux Unified Key Setup).

Un petit mot sur LUKS, système de chiffrement de disque créé en 2004 par Clemens Fruhwirth. A la base créé pour fonctionner sous Linux, LUKS a aujourd’hui l’avantage d’être un système indépendant de l’OS et surtout indépendant du programme de chiffrement/déchiffrement que l’on utilise. Cela signifie que plusieurs programmes peuvent traiter le chiffrement/déchiffrement d’un système de chiffrement de disque LUKS, sous Linux comme sous Windows !

LUKS est un utilitaire de type “Block Layer Encryption” (Chiffrement au niveau du bloc). Cela signifie que tout est chiffré sur la partition, cela est aussi appelé “on-disk encryption” ou “full-disk encryption“. On le différencie du “File-System Layer encryption” qui lui ne chiffre uniquement qu’au niveau fichier/dossier.

Pour des explications plus précises et détaillées à ce sujet, je vous oriente vers cet article (en anglais) : Block-layer Encryption

Il serait bien entendu possible de ne chiffrement qu’une partition et non la clé entièrement, mais nous allons ici créer une partition couvrant l’intégralité d’une clé USB (tutoriel fait avec un clé USB de 8 Go).

Pour effectuer cela, je suis sur une distribution Debian 8.1, nous verrons ensuite comment fermer et ouvrir une partition chiffrée sous Debian et autres OS Linux qui suivront la même procédure.

II. Installation de cryptsetup

Commençons par le commencement, sur notre distribution Linux (Debian dans mon cas), on commence par installer cryptsetup :

apt-get install cryptsetup

Pour ceux qui sont sous CentOS/RHEL/Fedora :

yum install cryptsetup-luks

En réalité, c’est l’utilitaire “dm-crypt” qui va faire le travail de chiffrement, cryptsetup est une interface en ligne de commande permettant de gérer les fonctionnalités et les actions de dm-crypt, un peu comme iptables avec netfilter, petite subtilité toujours utilise à savoir ;).

III. Création de la partition LUKS et du système de fichier

C’est le moment d’insérer notre clé USB si cela n’est pas déjà fait.

Note : Dans le cadre du tutoriel, je chiffre l’intégralité de ma clé USB, pas juste une partition. Il est également important de savoir que durant cette procédure, toutes les données existantes seront effacées de la clé

Pour chiffrer des données qui sont déjà sur la clé, procédez comme suivante :

• Copier les données de la clé vers un répertoire sur votre disque dur
• Procédez à la création de votre partition chiffrée comme cela va être expliqué à la suite de ce tutoriel
• Recopier vos données du disque dur vers votre nouvelle partition chiffrée
• Supprimez les fichiers mis temporairement sur votre disque dur

En piste ! On commence donc par repérer notre clé USB, dans mon cas il s’agit de /dev/sdc et sa partition initiale existante /dev/sdc1. Pour initialiser le chiffrement de la partition visée :

cryptsetup -y -v luksFormat /dev/sdc1

On va donc procéder au chiffrement, nous sera alors demandé notre passphrase, élément permettant d’ouvrir notre partition chiffrée (un gros mot de passe en somme). Voici la sortie attendue :

On pourra ensuite ouvrir notre partition LUKS, qui ne sera pas encore tout à faire utilisable, notre passphrase nous sera demandée pour ouvrir notre partition LUKS :

cryptsetup luksOpen /dev/sdc1 usbkey1

Je nomme ici mon montage “usbkey1” mais vous êtes libre de mettre autre chose. On formate alors notre partition pour la rendre toute propre en la remplissant de “0” (du vide si l’on peut dire).

dd if=/dev/zero of=/dev/mapper/usbkey1

En fonction de votre clé, cela peut être assez long (~ 20 minutes pour 8 Go avec un i7), on peut également utilise la commande “pv” (apt-get install pv) qui affiche une petite barre de progression :

pv -tpreb /dev/zero | dd of=/dev/mapper/usbkey1 bs=128M

Voici ce que l’on pourra voir avec l’utilisation de la commande “pv” lors du traitement avec “dd” :

Afin que notre clé USB soit utilisable et que l’on puisse y stocker des fichiers par dessus LUKS, on créé un système de fichier sur la partition :

mkfs.ext4 /dev/mapper/usbkey1

C’est une partie qui peut sembler déroutante au premier abord, une partition LUKS (qui chiffre tout) et par dessus un système de fichier ext4 (ou autre si souhaité) qui supportera les fichiers/dossiers. Lorsque l’on utilisera notre clé USB, il faudra donc déchiffrer l’ensemble dans un premier temps en saisissant la passphrase, puis l’OS sera capable de voir le système de fichier utilisé et pourra le monter pour y lire fichiers et dossiers.

Pour utiliser une clé USB chiffrée via le système LUKS également sur un système Windows, on oubliera l’ext4 au profit du FAT par exemple :

mkfs.fat /dev/mapper/usbkey1

Ici, on précise comme emplacement cible /dev/mappe/usbkey1, pourquoi ?

/dev/mapper/usbkey1 est le “raccourci” que nous avons donné à notre clé USB (/dev/mapper est générique à Linux pour le mappage, “usbkey1” dépend de ce que vous avez saisi). Il permet donc d’accéder à notre partition déchiffrée.

• /dev/sdc1 : Partition de notre clé USB, ici les informations sont chiffré grâce à LUKS et un OS ne peut monter un système de fichier connu directement.
• /dev/mapper/****: Mappage de notre partition /dev/sdc1 une fois déchiffré, ici le contenu est lisible pour un OS/système de fichier

Étant donné que le chiffrement utilisé est un “block-layer encryption” et non un “file-system encryption“, c’est étape supplémentaire de mappage est nécessaire.

IV. On monte et on démonte

Sous Debian, dm-crypt est présent par défaut. Le montage se fait donc dans la plupart des cas directement au branchement de la clé USB. Alors, notre passphrase nous est demandé sur une pop-up :

Une fois la passphrase saisie, l’OS pourra lire le système de fichier se trouvant sur la clé et pourra ensuite monter ce système de fichier, on verra alors notre partition montée :

Cependant, l’interface graphique n’est pas toujours là et en cas de problème, on a toujours l’air plus malin lorsque l’on sait s’en passer. Nous allons donc voir commencer effectuer cette même opération en ligne de commande. A nouveau, il nous faut donc brancher notre clé USB et repérer la partition qui nous intéresse, pour moi il s’agit encore une fois de /dev/sdc1. Ma clé USB étant représentée par /dev/sdc (/dev/sda étant mon disque dur principale avec mon OS, /dev/sdb mon second disque dur avec mes data, la suite est sdc bien entendu. le “1” de “sdc1” signifiant “première partition“).

On commence donc par déchiffrer notre partition chiffrée à l’aide de crypsetup et de son option “luksOpen” :

cryptsetup luksOpen /dev/xvdc usbkey1

Ensuite, et maintenant que notre clé USB est compréhensible par le système de fichier et notre OS, on monte son contenu dans un dossier quelconque, par exemple “/home/mickael/tmp” dans mon cas :

mount /dev/mapper/usbkey1 /home/mickael/mnt

On pourra donc accéder aux données de notre clé USB librement et de façon transparente.

Une fois nos traitement terminés, il ne faut pas oublier de fermer tout cela proprement et ne surtout pas arracher notre clé USB brusquement comme un lycéen à la fin d’un cours ennuyant. On commence par démonter le montage du système de fichier effectué:

umount /home/mickael/mnt

Puis on referme notre partition chiffrée :

cryptsetup luksClose usbkey1

On peut maintenant débrancher notre clé USB et la jeter dans la rue sans crainte qu’un passant puisse lire son contenu (blague – https://code.google.com/p/luks-volume-cracker/ – ayez une très bonne passphrase !).

Note : avec une interface graphique, le fait d’éjecter le périphérique effectue ces deux actions simultanément.

Si vous ne pensez pas être occupé le mardi 20 octobre prochain et que vous n’êtes pas trop loin de l’hôtel de ville de Paris, cet événement DELL pourrait vous intéresser.

En effet, le 20 octobre prochain aura lieu le DELL Solutions Tour, il s’agit d’un rendez-vous d’experts et de professionnels autours de domaines technologiques actuels et actifs tel que :

• Le Cloud ets la virtualisation et leurs évolutions et apports
• Le Big data dans l’entreprise
• Le besoin d’accès continuel aux ressources de l’entreprise
• etc

Bref, un événement qui devrait intéresser une bonne partie du monde IT environnant, on notera bien entendu la présence d’experts en solution DELL sur les grands domaines IT abordés, mais également des intervenants Intel et Microsoft par exemple.

Save the date : 20 octobre à l’hôtel de Paris

Plus d’informations sur ce lien : Dell Solutions Tour 2015

La Voyo V2 est une box TV qui tourne sous Windows et qui pour son prix intègre une configuration très intéressante, d’où la présentation de ce produit.

Tout d’abord, sachez que ce produit est préinstallé sous Windows 8.1 mais le constructeur le vend comme étant sous Windows 10 comme la mise à niveau peut être réalisée (et devra être réalisée par vos soins). Là où certains constructeurs misent sur Android, ce produit embarque Windows.

Au niveau des caractéristiques techniques, on se retrouve face à un véritable ordinateur avec une configuration light :

– Processeur :  Intel Atom Z3735F, Quad Core (1,83 GHz)
– Mémoire : 2 Go en DDR3
– Graphisme : Intel HD Graphic Génération 7
– Stockage : 32 Go intégré et extensible jusqu’à 64 Go
– Réseau : Wi-Fi, Bluetooth 4.0, et une interface réseau Gigabit Ethernet

Dans le descriptif du produit, il est mentionné que du décodage 4K peut être réalisé, et le produit dispose d’une sortie HDMI en Full HD (1080p).

Plus étonnant, ce boitier TV embarque une batterie de 8 000 mAh qui pourra être utilisée comme batterie externe pour recharger votre smartphone, votre tablette, etc.

Sinon côté design, le boitier semble vraiment petit (13.1 x 8.2 x 1.5 cm) et plutôt joli avec sur le dessus un verre trempé en guise de protection, voyez par vous-même :

Pour ceux qui sont intéressés par ce produit, disponible au prix de 120,99$ chez Gearbest, vous le trouverez en ce moment à 116,89$ grâce au code promo “VOYOV28” à saisir lors de la commande.

Voir Voyo V2 sur Gearbest