Usage du fichier cab Windows
Dans le cadre des analyses lancées par ses scans de vulnérabilités, Cyberwatch peut être amené à transférer un fichier de dépendances de mises à jour fourni par Microsoft connu sous le nom de wsusscn2.cab.
Ce fichier permet de lancer l’équivalent d’une analyse Windows Update en mode déconnecté.
Le fichier cab contient des informations concernant la plupart des correctifs pour Windows et pour les applications Microsoft distribués par Windows Update.
La problématique principale liée à l’utilisation de ce fichier pour les analyses est liée à sa taille. Il représente actuellement un transfert de plus de 900 Mo, la distribution de ce fichier sur chaque actif peut donc être complexe.
Actifs pour lesquels une analyse WUA est recommandée
Les analyses via l’utilisation de WUA (Windows Update Agent) permettent d’apporter des informations sur les KB disponibles de certains actifs.
L’analyse de certaines configurations d’actifs Windows nécessitent l’utilisation de WUA pour être complète. Cela concerne les actifs Windows répondant à au moins l’une de ces conditions :
- systèmes anciens Windows Server 2012 ou antérieur
- systèmes anciens Windows 7 ou antérieur
- tout système Windows ayant une application Microsoft installée par MSI dont les mises à jour sont gérées par KB
Conditions de transfert du fichier cab pour les scans Cyberwatch
Les analyses Cyberwatch nécessitent l’utilisation du fichier cab uniquement pour scanner certaines configurations spécifiques d’actifs Windows. Ce transfert, quand il est nécessaire, sera indépendant du mode de scan (avec agent, connexion mode sans-agent, air gap…) utilisé.
Le transfert du fichier cab aura lieu uniquement sur les actifs Windows n’ayant pas accès à Internet ou pour lesquels une analyse passant par Windows Update n’est pas possible.
Dans le cas où l’analyse par WUA n’est pas possible et que le transfert du fichier cab n’est pas souhaitée ou s’avère impossible, cela aura pour effet :
- pour les systèmes anciens, l’analyse des KB manquantes liées au système d’exploitation et aux applications Microsoft sera incomplète
- pour les systèmes récents disposant d’applications Microsoft, l’analyse sur les KB liées à ces applications sera incomplète
Emplacement du fichier cab
Scans en mode avec ou sans agent
Dans le cas d’un scan en mode avec ou sans agent, le fichier cab sera enregistré dans le répertoire C:\Windows\System32\config\systemprofile\AppData\Roaming\Cyberwatch
.
Scans en mode air gap
Pour les analyses en mode air gap, l’interface Cyberwatch propose une option permettant de « Télécharger le fichier d’analyse Windows hors ligne ». Cette option permet de télécharger le fichier cab Microsoft de sorte à pouvoir l’utiliser dans le cadre des analyses air gap.
L’exécution du script WUA avec fichier cab est au choix de l’utilisateur, mais permettra dans les cas de figure mentionnés ci-dessus d’avoir une analyse plus complète du système.
Désactivation du transfert du fichier cab dans Cyberwatch
La désactivation du transfert du fichier cab sur un actif ou un ensemble d’actifs peut se faire via l’utilisation des politiques d’analyse, en désactivant l’exécution du scan de vulnérabilités Windows avec WUA.
La désactivation de ce transfert nécessite l’activation de la fonctionnalité des analyses personnalisées.
Voici un exemple de procédure étape par étape à suivre permettant de désactiver l’exécution du scan de vulnérabilités Windows avec WUA sur un ensemble d’actifs :
- Créer une politique d’analyse, depuis le menu Réglages > Politiques d’analyses en cliquant sur le bouton Ajouter
- Définir le nom et la plage d’analyse autorisée
- Dans la section « Scripts d’analyse », cliquer sur le bouton « Ajouter une analyse personnalisée »
- Sélectionner comme analyse « Scan de vulnérabilités Windows avec WUA »
- Définir la période du scan à « Jamais »
- Cliquer sur le bouton « Sauvegarder »
Cette politique, une fois assignée aux actifs souhaités, désactivera l’exécution du script d’analyse responsable du transfert du fichier cab.
N’hésitez pas à consulter la documentation des politiques d’analyse pour plus d’information sur l’utilisation des politiques d’analyse.