Prérequis des actifs à superviser en connexions mode sans-agent
Matrice de flux
Cette matrice résume l’ensemble des flux qui peuvent être nécessaire selon le type d’équipement supervisé en connexion mode sans-agent.
| Source | Destination | Protocole | Port | Description |
|---|---|---|---|---|
| scanner Cyberwatch | actif supervisé | TCP | 22 | SSH (Linux) |
| scanner Cyberwatch | actif supervisé | TCP | 5985 | WinRM (Windows) |
| scanner Cyberwatch | actif supervisé | UDP | 161 | SNMP (équipements réseau) |
| scanner Cyberwatch | actif supervisé | TCP | 443 | HTTPS API VMware |
| actif supervisé | scanner Cyberwatch | TCP | 443 | HTTPS transfert du fichier cab Microsoft |
Prérequis logiciels
- Système d’exploitation parmi la liste des systèmes d’exploitation supportés
- Service SSH activé pour Linux / UNIX
- Service WinRM activé pour Windows (commande PowerShell associée :
Enable-PSRemoting -Force) - SNMPv3 activé pour les équipements réseaux
Prérequis spécifiques aux actifs Linux
- Mise à disposition d’un compte de connexion SSH avec authentification par login/mot de passe ou clé publique/privée
- Droits sudoers SANS TTY pour déployer des correctifs (facultatif)
Prérequis spécifiques aux actifs Windows
- Mise à disposition d’un compte de connexion WinRM local ou de domaine, avec authentification par login/mot de passe en « NEGOTIATE »
- Droits d’administration OBLIGATOIRES sur le compte utilisé
- Le service Windows Update (
wuauserv) doit être activé - PowerShell v2 ou supérieur doit être installé, téléchargeable sur le site officiel de Microsoft
- Windows Update Agent v6.1.0022.4 ou supérieur doit être installé
Les systèmes Windows Server 2008 doivent en plus disposer des algorithmes de hachage SHA-2, conformément à ce que décrit la documentation officielle Microsoft. En résumé, trois mises à jours sont nécessaires :
- Prise en charge de la signature du code SHA-2 via installation de la KB4474419
- La mise à jour de janvier 2020 (correctif cumulatif mensuel) via la KB4534310 pour Windows Server 2008 R2 SP1
- Mises à jour de la pile de maintenance associées à SHA-2
Dans le cas où les KBs en question ne sont pas installées, l’exception suivante pourra être remontée dans le résultat du scan Cyberwatch :
# Error: Exception lors de l'appel de « AddScanPackageService » avec « 3 » argument(s) : « Une chaîne de certificats a été traitée mais s’est terminée par un certificat racine qui n’est pas approuvé par le fournisseur d’approbation. (Exception de HRESULT : 0x800B0109) »
Configuration des actifs Windows Server 2012 et Windows Server 2012 R2 pour les scans WUA
Pour garantir que Windows Update Agent est complètement opérationnel, Windows Server 2012 et 2012 R2 nécessitent un correctif cumulatif mensuel égal ou plus récent que :