Snort possède une version Windows, un peu plus limitée (IDS), mais fonctionnelle (avec un peu de patience).

Voici comment procéder en partant d'une installation de Windows 11 Pro Standard :

1) Télécharger et installer : Npcap, 7-zip, snort 2.9.20, vc_redist16
(pour l'instant, je ne montre pas pour la version 3 de Snort. Je verrai si j'ai le temps de le faire plus tard).

Pour Npcap, vous pouvez autoriser le wifi lors de l'installation.
Laisser tout le reste par défaut pour les 4 paquets.

2) Afficher les extensions des noms de fichier et les fichiers cachés dans l'explorateur Windows

3) S'enregistrer sur le site snort.org (créer un compte.. c'est gratuit)

Confirmer le mail, se loguer puis télécharger les règles "Registered" (pas communautaires) "snortrules-snapshot-29200.tar.gz"

4) Double-Décompresser le fichier snortrules-snapshot-29200.tar.gz avec 7-zip.

(Attention, Windows Defender se réveille et vous bloque les téléchargements et la décompression, il faut intervenir et autoriser les fichiers)

5) Dans C:\Snort\preproc_rules

- Renommez les 3 fichiers :
decoder.rules
preprocessor.rules
sensitive-data.rules

- En : 
decoder.rules.BAK
preprocessor.rules.BAK
sensitive-data.rules.BAK

(Puis copier les 3 fichiers du dossier preproc_rules téléchargé au même endroit)

6) Copier tous les fichiers contenus dans le dossier rules téléchargé dans C:\Snort\rules

7) Ajouter au path : 
(ouvrir PowerShell en mode Administrateur)

$Env:Path += ";C:\Snort\bin"

8) Recharger le PATH :

[System.Environment]::SetEnvironmentVariable("Path", [System.Environment]::GetEnvironmentVariable("Path", [System.EnvironmentVariableTarget]::Machine) + ";C:\Snort\bin", [System.EnvironmentVariableTarget]::Machine)

9) Configurer le fichier C:\Snort\etc\snort.conf.

- Faire une copie du fichier C:\Snort\etc\snort.conf en C:\Snort\etc\snort.conf.BAK par sécurité.

Ouvrir le bloc-note en mode Administrateur et ouvrir le fichier C:\Snort\etc\snort.conf :

- Remplacer :

ipvar HOME_NET any

- Par :

ipvar HOME_NET 192.168.1.0/24

(c'est l'adresse IP du réseau "LAN" que Snort devra protéger)

- Remplacer :

ipvar EXTERNAL_NET any

- Par :

ipvar EXTERNAL_NET !$HOME_NET

- Remplacer :

var RULE_PATH ../rules

- Par :

var RULE_PATH C:\Snort\rules

- Commenter :

var SO_RULE_PATH ../so_rules

- En :

# var SO_RULE_PATH ../so_rules

- Remplacer : 

var WHITE_LIST_PATH ../rules
var BLACK_LIST_PATH ../rules

-En : 

var WHITE_LIST_PATH C:\Snort\rules
var BLACK_LIST_PATH C:\Snort\rules

- Remplacer :

# config logdir:

- En :

config logdir: C:\Snort\log

- Remplacer :

# path to dynamic preprocessor libraries
dynamicpreprocessor directory /usr/local/lib/snort_dynamicpreprocessor/

# path to base preprocessor engine
dynamicengine /usr/local/lib/snort_dynamicengine/libsf_engine.so

# path to dynamic rules libraries
dynamicdetection directory /usr/local/lib/snort_dynamicrules

- Par : 

# path to dynamic preprocessor libraries
dynamicpreprocessor directory C:\Snort\lib\snort_dynamicpreprocessor

# path to base preprocessor engine
dynamicengine C:\Snort\lib\snort_dynamicengine\sf_engine.dll

# path to dynamic rules libraries
# dynamicdetection directory C:\Snort\lib\snort_dynamicrules

- Remplacer :

   whitelist $WHITE_LIST_PATH/white_list.rules, \
   blacklist $BLACK_LIST_PATH/black_list.rules 

- Par :

   whitelist $WHITE_LIST_PATH/whitelist.rules, \   
   blacklist $BLACK_LIST_PATH/blacklist.rules 

- Se positionner sur "include $RULE_PATH/local.rules"
Lancer le remplacement (CTRL+H) de "/" pour "\" pour toutes les lignes include $RULE_PATH jusqu'à x11.rules

- Remplacer : 

# include $PREPROC_RULE_PATH/preprocessor.rules
# include $PREPROC_RULE_PATH/decoder.rules
# include $PREPROC_RULE_PATH/sensitive-data.rules

- Par :

include $PREPROC_RULE_PATH\preprocessor.rules
include $PREPROC_RULE_PATH\decoder.rules
include $PREPROC_RULE_PATH\sensitive-data.rules

- Dans la Section "Step #6: Configure output plugins", placer les lignes suivantes :

# Logs d'alerte :
output alert_fast: alert_fast.txt
output alert_full: alert_full.txt

 (Attention avec le log alert_full.txt, il se remplit extrêmement vite (1Mo toutes les 10minutes) à cause des innombrables IP télémétriques de Windows que Snort fait remonter en tant que Trafic potentiellement mauvais - et il n'a pas tort - ... .et ça finit par peser très lourd, très vite...). Il y a donc des stratégies à mettre en place !

Télécharger « snort.conf »

10) Créer une copie du fichier C:\Snort\rules\blacklist.rules,

renommer cette copie whitelist.rules

Ouvrir whitelist.rules avec notepad et modifier "# BLACKLIST RULES" en "# WHITELIST RULES"

11) Repérer l'interface réseau sur laquelle mettre Snort en écoute :

(Ouvrir PowerShell en mode Admin)

snort -W

(récupérer le numéro d'Index correspondant à la carte réseau voulue.. je prends la 1 en exemple)

12) Test de la configuration de Snort :

snort -i 1 -T -c C:\Snort\etc\snort.conf

(Si le résultat est positif, alors on avance! Sinon on débug !)

13) Décommentez les règles qui vous intéressent dans tous les fichiers C:\Snort\rules puis lancer Snort en mode IDS 
- En mode Console :

snort -c C:\Snort\etc\snort.conf -i 1 -A console

- Directement dans les logs :

snort -c C:\Snort\etc\snort.conf -i 1

ça peut parfois être pénible quand on a besoin d'exécuter un script en tant qu'Administrateur ou d'ouvrir une application ou un fichier en tant que tel.

On va donc rajouter 2 entrées au menu du clic-droit : 
- "Exécuter en tant qu'administrateur" (pour ouvrir un fichier ou une application en tant qu'administrateur)
- "Exécuter le .ps1 en tant qu'administrateur" (pour exécuter un script PowerShell en en tant qu'administrateur)

Ouvrir regedit,
Allez dans Ordinateur\HKEY_CLASSES_ROOT\*\shell

1) Pour "Exécuter en tant qu'Administrateur"

Faîtes un clic-droit sur "shell", nouveau, Clé, la nommer "RunAsAdmin"
Cliquez sur "RunAsAdmin" nouvellement créée, puis dans l'écran de droite, double-cliquez sur "(par défaut)" et écrivez "Exécuter en tant qu'Administrateur", refermez.

Faîtes un clic-droit sur "RunAsAdmin", nouveau, Clé, la nommer "command"
Cliquez sur "command" nouvellement créée, puis dans l'écran de droite, double-cliquez sur "(par défaut)" et copier/collez 

cmd.exe /c start "" "%1"

Redémarrez votre ordinateur.
Faîtes un essai en cliquant-droit sur un fichier.

2) Pour "Exécutez le .ps1 en tant qu'Administrateur"

Faîtes un clic-droit sur "shell", nouveau, Clé, la nommer "RunScriptAsAdmin"
Cliquez sur "RunScriptAsAdmin" nouvellement créée, puis dans l'écran de droite, double-cliquez sur "(par défaut)" et écrivez "Exécuter le .ps1 en tant qu'Administrateur", refermez.

Faîtes un clic-droit sur "RunScriptAsAdmin", nouveau, Clé, la nommer "command"
Cliquez sur "command" nouvellement créée, puis dans l'écran de droite, double-cliquez sur "(par défaut)" et copier/collez 

PowerShell -Command "Start-Process PowerShell -ArgumentList '-ExecutionPolicy Bypass -File \"%1\"' -Verb RunAs"

Redémarrez votre ordinateur.
Faîtes un essai en cliquant-droit sur un script PowerShell.

Ouvrez l'éditeur de registre (regedit)

Suivez le chemin : 
Ordinateur\HKEY_CURRENT_USER\Software\Policies\Microsoft\Windows

Clic-droit sur "Windows", Nouveau, Clé
Nommez-là "Explorer"

Clic-droit sur "Explorer", Nouveau, Valeur DWORD (32 bits)
Nommez-là "DisableSearchBoxSuggestions"

Double-cliquez sur "DisableSearchBoxSuggestions" puis passez la valeur à 1.

Redémarrez votre ordinateur.

Oui, c'est possible.. et même pas bien compliqué !

A l'instar du dédoubleur de jack, on peut également faire cela avec 2 paires d'écouteurs/casques Bluetooth.
C'est assez simple.

1) Télécharger VAC (Virtual Audio Cable)

2) Installez VAC en double-cliquant sur le fichier téléchargé.
Répondez oui, la fenêtre des paramètres de son s'ouvre.
Une nouvelle carte son virtuelle est apparue (Line1).
Cliquez sur Line1 et cliquez sur "Par défaut" pour transformer Line1 en périphérique de lecture par défaut.

3) Connectez vos 2 paires d'écouteurs/casques Bluetooth à votre PC.

4) Lancez 2 fois l'application "Audio Repeater (MME)"
Sélectionnez vos 2 dispositifs bluetooth connectés dans "Wave Out" (un dans chaque fenêtre) puis cliquez sur Start, et c'est parti.

Ouvrir un invité de commandes en mode Administrateur, puis copier/coller :

reg add “HKCU\Software\Classes\CLSID\{86ca1aa0-34aa-4e8b-a509-50c905bae2a2}\inprocServer32” /f /ve

Redémarrer.

Je me rends compte que j'ai oublié de faire ce tuto fort simple !

Tout d'abord, le rôle ADDS doit être correctement installé et configuré sur le serveur Windows.
Deuxièmement, le poste client doit pouvoir contacter le serveur Windows via le réseau.

Je vous exhorte à ne pas changer le nom de votre poste client au même moment que la jonction au domaine. J'ai eu trop de mauvaises surprises en procédant ainsi.
Il est préferable de le faire AVANT et d'avoir redémarré.

1) Renommez votre poste client :
- Appuyez sur la touche windows puis tappez : sysdm.cpl (en entier, et sans erreur) puis tappez ENTRER.
cliquez sur Modifier comme ci-dessous.

Entrez le nouveau nom pour votre machine, puis validez et redémarrez votre poste.

2) Configuration réseau :
- Appuyez sur la touche windows puis tappez : ncpa.cpl (en entier, et sans erreur) puis tappez ENTRER.
Cliquez droit sur la carte connectée permettant de joindre le serveur Windows, Propriétés, Protocole Internet Version 4 (TCP/IP), Propriétés, puis renseignez l'adresse IP du serveur Windows en tant que DNS 1.
cochez la case "Valider les paramètres en quittant".

Validez puis refermez les propriétés de votre carte

3) Jonction au domaine :
- Appuyez sur la touche windows puis tappez : sysdm.cpl (en entier, et sans erreur) puis tappez ENTRER.
Cliquez sur Modifier (comme lorsque vous avez changé le nom de votre poste), puis entrez le nom du domaine à joindre :

Si votre poste parvient à contacter le serveur windows, alors une fenêtre d'authentification va s'afficher :

Renseignez un utilisateur de l'AD, capable d'ajouter un poste, validez...

puis votre poste va redémarrer.
C'est fini.

Vous souhaitez qu'en entrant l'URL ftp://blabla@bidule.truc, votre navigateur internet vous lance FileZilla et se connecte directement au serveur voulu.

En principe, en allant dans les applications par défaut, en descendant et cliquant sur les associations par protocole, on peut choisir l'application qui nous intéresse en fonction du protocole.

Problème : Windows ne vous offre pas la possibilité d'associer les URL ftp://... avec FileZilla.

Pour avoir le choix :

1) Installer FileZilla (je sais, c'est très con.. c'est sûr... mais il faut bien commencer quelque part !)

2) Modiier les clefs de registres (ah ça y est, j'en sens déjà certains défaillir... Pas de panique !)
Fort heureusement, quelqu'un a eu la bonne idée d'écrire un petit programme pour le faire à notre place.

J'en remercie beaucoup l'auteur (TrisTech) :

Télécharger « filezilla-assoc.zip »

Une fois avoir pointé filezilla.exe et généré le petit script pour ajouter la clef, redémarrez votre machine.

Désormais, vous pourrez définir l'association du protocole FTP et choisir FileZilla !

https://github.com/ddosify/ddosify/releases/download/v1.0.6/ddosify_1.0.6_windows_amd64.zip  

Attention, il faudra peut-être baisser la garde de votre antivirus pour le télécharger..

Par défaut, Windows impose une limitation de 260 caractères pour les chemins des fichiers (nom du fichier + chemin d'accès).
Ce qui peut poser problème lors des recopies.

Pour enlever cette limitation : lancer regedit !
Ordinateur\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\FileSystem

Double-cliquer sur "LongPathsEnabled" puis passer la valeur à 1.
Voilà, problème réglé.

L'idée, avoir un volume monté sur notre explorateur de fichiers windows, directement connecté à notre espace de stockage décentralisé !

Je ne vais pas développer le sujet, il y a pléthore d'informations !

Juste le prinicpe, vous pouvez stocker vos données de façon décentralisée dans le réseau storj, moyennant une rétribution payable en coin (c'est le même principe avec tous les autres services).

J'utilise Storj ici, mais d'autres services existent (comme filecoin, Sia etc...).

1) Créer un compte
(vous disposez d'un espace de stockage gratuit de 25G pour tester)

Confirmez votre inscription en cliquant sur le lien dans le mail !

2) Identifiez-vous
(revenez sur le site, Sign in)

3) Créez un Projet
(exemple : stockage-perso)
ATTENTION A BIEN MEMORISER VOTRE PASSPHRASE !!!!
Elle sera indispensable par la suite.

4) Créez un Bucket
Ouvrez votre projet (Open Project, puis entrer la passphrase obtenue précédemment)
(ce sera votre "partition", nommez la comme vous voulez)

5) Faire un test d'upload de fichier ou dossiers
(je ne mets pas d'image, vous allez trouver comment faire !
Entrez dans votre bucket créé.. et uploadez !).

6) Créer un accès pour permettre la connexion à notre bucket depuis une application tierce
- Tout d'abord, il nous faut créer un accès autorisé pour permettre à une application tierce de pouvoir se connecter à notre bucket.

Attention, il faut être très prudent sur cette notion d'accès !
En effet, vous pouvez créer plusieurs accès à un même bucket.. MAIS ! 2 accès différents à un même bucket ne permettront pas de voir les fichiers créés avec l'un ou l'autre des accès !!
Ils ne pourront d'ailleurs pas mutuellement modifier les fichiers créés par l'un ou l'autre.
C'est quand même quelque chose d'assez spécial (!)

Si vous souhaitez pouvoir monter un volume de votre bucket sur plusieurs machines, et pouvoir interagir sur chaque machine avec les mêmes données, vous devrez obligatoirement utiliser le même accès sur chaque machine !!
Inutile donc de créer plusieurs accès pour un même bucket !

Dans l'exemple suivant je nomme l'accès "MON-ORDI" et je donne l'accès à "tous les bucket" car je n'ai créé qu'un bucket dans le tuto et que je souhaite accéder à ce bucket uniquement depuis mon ordi, mais il est plus que préferrable de nommer cet accès du nom du bucket créé et auquel vous souhaitez donner l'accès afin de bien différencier dans le cas où vous auriez plusieurs bucket !

Prenez simplement conscience que l'API locale sur votre ordinateur aura donc accès à vos identifiants et au mécanisme d'encryption/décryption !

Si vous créez cet accès pour monter votre bucket sur votre machine, ne changez pas la passphrase.
Si c'est pour d'autres, il sera plus judicieux de le faire.

Je ne détaille pas l'image suivante. Vous devez veillez à bien conserver les 3 informations qui vous seront données

- Access Key
- Secret Key
- Endpoint

Nous en aurons besoin pour configurer TNTdrive (ou n'importe quelle autre appli)

7) Faire monter notre bucket en tant que lecteur réseau sur notre machine
Il y a plusieurs solutions possibles pour réaliser cela, de la ligne de commande à l'interface graphique. Montainduck, rclone, raidrive, tntdrive etc...
La documentation de storj est exhaustive sur la façon de procéder pour la plupart des solutions

Pour ma part, je présente ici TNTdrive.
Il n'est pas gratuit (60€ pour une licence), mais la facilité de configuration est déconcertante.

Maintenant que nous disposons de notre accès, télécharger TNTdrive depuis leur site.
Installer puis redémarrer votre machine.

Lancer TNTDrive et cliquez sur Add New Mapped Drive

Cliquez sur le crayon à droite de Storage Account

Cliquez sur Add

Complétez en entrant les 3 informations de votre accès créé à l'étape précédente.
Surtout, sélectionnez "Amazon S3 Compatible Storage"

N'oubliez surtout pas de valider !!

Votre compte est désormais paramétré.
Il ne vous reste plus qu'à sélectionner votre bucket en cliquant sur le petit dossier à droite, puis à choisir la lettre de montage pour votre volume, enfin, à cliquez sur Add New Drive.

Et voilà, c'est terminé, votre volume est à présent monté. Vous pouvez à présent directement interagir avec votre espace décentralisé !

 Pour stocker plus de 25Go, il vous faudra entrer dans l'écosystème storj... et acheter des coins ou entrer votre carte de crédit (vous avez le choix) !
Bien entendu, vous pouvez devenir un noeud du réseau Storj en "louant" vos espaces disques non utilisés.
Attention aux critères de disponibilité réseau... ils sont plus élevés que sur Sia par exemple.

Il est possible de zipper un dossier avec l'invite de commande windows.

La commande est la suivante :

tar -a -c -f dossiercompressé.zip dossier-à-compresser

C'est suffisamment exotique pour que je m'y intéresse.
Wingate est le dernier "pare-feu" reposant sur l'architecture Windows.

Wingate propose une licence gratuite jusqu'à 10 utilisateurs (leur tarification est intriguante... elle est basée sur le nombre d'utilisateurs accédant au web en même temps, et non sur le nombre de PC connectés)... et également des licences payantes.

Bon à savoir : la gestion des DMZ n'est possible qu'avec les licences professionnelles et entreprise (pas la standard).

Le logiciel est plein de fonctionnalités... C'est assez bluffant.

- Pare-feu
- Proxy / Reverse Proxy
- VPN Propriétaire (ils ont leur propre protocole !)
- Scan en direct du trafic http/https/smtp avec le plugin Kaspersky
- Serveur de mail (smtp, imap, pop)
- Serveur Web !
- Serveur DNS
- Serveur DHCP
- Serveur SOCKS
- Serveur GDP
- Proxy FTP / RTSP / SIP / Telnet
- Redirecteur Winsock
- Mappeur TCP / UDP
- Autorité de certification SSL et gestionnaire
- ...

Bref, un gros gestionnaire internet tout en un !

Il est principalement connu pour son service de proxy transparent et son VPN.

Inutile de vous soucier du pare-feu Windows en dessous, WinGate gère tout.
Vous devez néanmoins configurer le routage et vos cartes réseaux via Windows (ce que nous allons faire ici).

L'ergonomie de Wingate fait un peu peur au début car je la trouve assez inhabituelle.. mais en fait, tout se configure d'une façon incroyablement rapide !!
Je le teste par séries depuis plusieurs mois, et plus j'avance dans les configurations, plus je trouve cette solution étonnante !

Je vais tenter de faire quelques tutos classiques, car la documentation en ligne est franchement ultra merdique. Celle sur le soft en revanche est bonne.
Cela dit, le forum du support comporte la majorité des problèmes que l'on peut rencontrer, et Adrien de Croy répond à chaque question posée.

----------------------------------------------------------------------------------------------------------------------------------------------------

Voici les étapes à suivre pour déployer le pare-feu WinGate dans un labo composé d'au moins 2 machines : la machine où sera installé WinGate et un client.

1) Installer Windows 10/11 Pro N/Windows Server 2019/2022... (avec 2 interfaces réseaux a minima. Une pour le WAN et une pour le LAN))

2) Faire les MAJ de Windows.

3) Passer PrivateZilla ou LoveWindowsAgain en fonction de votre version de windows, puis désinstallez toutes les applications restantes inutiles de windows.

4) Activer le routage Windows :
- Avec regedit : HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters. Passer IPEnableRouter à 1.
- En Powershell :

Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters" -Name "IPEnableRouter" -Value 1 

5) Configurer l'interface réseau LAN, en lui mettant une IP et un masque (et rien d'autre). Si vous ajouter également une carte réseau pour une DMZ, il faut procéder de la même façon (IP + Masque). L'adressage IP des cartes ne peut pas se faire dans Wingate.
Je vous suggère de renommer directement vos cartes réseaux au moment de la configuration, pour plus de lisibilité (WAN, LAN, DMZ...)

6) Télécharger et installer Wingate (depuis www.wingate.com).
Lors de l'installation, veillez à choisir soit la licence gratuite, soit la pro (30 jours de tests offerts), et la base de données utilisateurs Windows (surtout pas celle de WinGate !!!!! autrement vous allez être bloqué !)

7) Si VM, installer des guest-additions pour optimiser l'affichage en mode intégré.

Dans Wingate Manager:
- Définir le rôle des interfaces (interne ou externe ou DMZ) :
(allez dans la rubique "Network connections" dans le menu de gauche (Navigation))

(l'idée ici est d'indiquer à WinGate quelle interface est quoi... WAN ou LAN)
on clique-droit sur l'interface, Properties, puis on lui assigne le rôle WAN ou LAN (externe ou interne ou DMZ)

On fait de même pour la seconde interface (et toutes les autres, si vous en avez plusieurs !)

- Services : Essayons de mettre en place un service DHCP pour notre réseau LAN.
--- Clic-droit, Install service, DHCP Service

------ General/Startup : Service Will start automatically

------ Bindings/Bind to Any IP Address Ethernet 2 (c'est la LAN)

(Sélectionnez la police par défaut et cliquez sur Edit)

(Liez votre DHCP à l'interface LAN, sur n'importe quelle IP "Any IP Adress")

------ DHCP Mode : Semi Automatic (décocher Scopes et DNS)

(ne laissez pas WinGate tout gérer avec le mode Fully Automatic... il fait n'importe quoi !!)

------ DHCP Settigns/Global Options : Add 006 DNS server. double-clic et Add 1.1.1.1

(double-cliquez sur Global Options)

(Ajoutez l'option de DNS Server : Sélectionnez 006 DNS server dans la colonne de gauche, puis cliquez sur Add pour le faire passer dans la colonne de droite. Puis, double-cliquez sur 006 DNS server dans la colonne de droite)

(Ajoutez le DNS que vous voulez proposer aux clients du LAN)

------ Appliquer, OK

- Ré-ouvrir le service DHCP Service (oui, il faut le réouvrir ! double-cliquez sur la ligne)
------ DHCP Settings : clic-droit sur l'IP apparue, New scope.. Faîtes votre étendu DHCP.

(réglez votre étendue d'IP sur laquelle le serveur DHCP proposera des adresses)
Vous pouvez indiquer des IP à exclure également, et régler la durée d'allocation du bail.

------ Appliquer, OK

- Extended Networking/Port Security (Autoriser les flux sortants du LAN dans le pare-feu :)
(allez dans "Extended Networking" dans le menu de Nagivation) :

Pour cet exemple, nous allons régler la politique du pare-feu à tout bloquer par défaut, puis ouvrir uniquement les flux internet pour les PC du LAN (mais après, vous ferez ce que vous voulez !). Cliquez sur Port Security dans le menu de gauche

(sur ce prermier écran s'affichent les règles du pare-feu entrantes (venant d'internet).
Ici il n'y en a pas.. Je les ai supprimées.

--- Default: Deny (Settings)
Cliquez sur Settings en bas à droite, et passez le comportement par défaut du pare-feu à Deny.

--- LAN connections to Internet | TCP

C'est ici que nous allons définir les règles TCP pour permettre à nos chients du LAN d'accéder à internet.
Nous allons créer les règles d'accès au port 80 et 443 (HTTP et HTTPS)
Vous remarquerez que j'ai déjà fait ce travail.. mais je vous montre quand même comment créer ces règles ci-dessous
Cliquez sur Add si vous n'avez pas de règles :

------ Add : HTTP, Local computers to the internet, Ports 80 to 80, Allow Packet

Je vous laisse le soin de faire la seconde règle pour HTTPS, en suivant ce modèle.

 
------ Add : HTTPS, Local computers to the internet, Ports 443 to 443, Allow Packet

--- LAN connections to Internet | UDP

Cliquez sur le menu TCP en haut à droite pour passer à UDP.
Nous devons à présent créer notre règle pour le passage du flux DNS.
Elle est ici, déjà crée, mais je vous remontre comment faire.
Cliquez sur Add

------ Add : UDP, Local computers to the internet, Ports 53 to 53, Allow Packet

Un dernier petit réglage de sécurité avant d'en finir là : Cocher les cases masquant le nom du réseau sur le net et les paquets spoofés.

Voilà, notre petite configuration basique du Pare-feu est terminée.

Sachez simplement que le proxy de Wingate filtre les catégories de site internet selon vos propres listes ou en installant le plugin Lumen... Je verrai si j'ai le temps de faire un nouvel article simplement sur ce sujet... c'est toujours long.

Sur les postes clients du LAN :
- Configurer l'interface réseau pour DHCP grâce à ncpa.cpl
ou bien, via l'invité de commandes :
- ipconfig /release
- ipconfig /renew

Enfin, vous pouvez lancer l'application Wingate Management au démarrage de la machine.

2 méthodes sûres :

------------------------------------------------------------------------------------

Pour installer Windows 11 sur une machine ayant Windows 10, mais non compatible avec la MAJ vers W11, installez MediaCreationTool.bat (cliquez dans l'onglet vert "Code" puis Download ZIP)

Dézippez le dossier, et double-cliquez sur MediaCreationTool.bat
Un script se lance. On vous demande de choisir la version voulue de Windows.
Cliquez sur 11 puis Auto-ISO.
MediaCreationTool va alors générer un ISO d'installation de Windows11 qui bypassera les mesures de sécurité empêchant l'installation de Windows 11 sur un matériel non compatible ! Cet ISO apparaîtra dans le dossier contenant mediacreationtool.bat.
Gardez cet ISO, il est précieux !!

Vous plus ensuite qu'à copier cet iso sur une clef USB (avec rufus par exemple) ou à la transférer sur un serveur bhyve si vous utilisez bhyve pour virtualiser.

------------------------------------------------------------------------------------

Rufus vous permet aussi de créer un ISO de Windows 11 sans les mesures de sécurité !

Ouvrez un invité de commande en mode administrateur et tapez :

wmic path softwarelicensingservice get OA3xOriginalProductKey

Ah ! Sujet délicat... Je vais tenter d'en aborder seulement quelques aspects.

Pour certaines raisons, on pourrait vouloir installer et tester les mises-à-jour manuellement, c'est à dire, sans avoir recours à Windows Update, avant de les pousser sur un réseau ou des machines particulières.

Pour cet exemple, nous allons installer Windows 10 pro (le principe de fonctionnement n'est pas très différent sur Windows 11) et voir comment on peut installer les MAJ manuellement.

Pour réaliser cet essai, nous allons utiliser 2 machines :
- la machine A, principale, (physique), celle sur laquelle nous voulons déployer les MAJ à la main, en ayant coupé tous les flux de télémétrie (c'est illégal selon les conditions générales de Winshiottes pour rappel, mais rien ne vous empêche d'avoir un pare-feu "bloquant" ces flux... il faut s'interroger sur cette question !).
- la machine B (par exemple une VM à la noix dans n'importe quel cloud) qui va nous servir à récupérer la liste des MAJ, leurs références, à tester ces MAJ. à les organiser et enfin à les télécharger en direction de la machine A ou d'un serveur intermédiaire.

Aucune connexion ne doit être possible entre les 2 machines. 2 réseaux (ou VLAN) distincts a minima.

Première constatation : il est impossible de passer d'une version 20H2 à une version 21H2 ou 22H2 de façon manuelle.
Vous devez donc récupérer l'ISO le plus actuel de Windows, le 22H2.
(Ci-dessous, le lien du crabe-info pour récupérer cet ISO).
Télécharger Windows 10 22H2 (64 bits) – Le Crabe Info 
Après avoir téléchargé l'ISO, vous connaissez la musique, utilisez ventoy ou rufus pour générer votre clef USB bootable.

1) Déployez votre VM (machine B) avec Windows 22H2 (vous devez évidemment choisir la même version) dans le cloud.
Ne faîtes aucune MAJ ! Ne faîtes rien d'autres que l'installation !
- Lancer PowerShell en mode administrateur
- Autorisez l'exécution de scripts :

Set-ExecutionPolicy Unrestricted

- Installer le module PSWindowsUpdate

Install-Module -Name PSWindowsUpdate -Force

(répondre oui pour NuGet)

- Obtenir la liste des MAJ disponibles :

Get-WUList

Voilà, vous obtenez une liste de MAJ.
On ne va s'intéresser qu'aux MAJ identifiées par un "KB....." car ce sont les MAJ de Windows.
Les autres concernent les drivers de votre machine (sur une VM, vous ne devriez pas en avoir beaucoup, voir pas du tout).
Ce qui amène à une première constatation : vous devrez également gérer par vous-mêmes le déploiement des MAJ des drivers et du firmware sur votre machine A. Rappelons-le, pour ce test, il est interdit de se servir de Windows Update sur la machine A !
Apprenez-donc à connaître votre machine A !
Utilisez les bons outils le cas échéant, si vous ne voulez pas avoir à le faire vous-même.

- Récupérer les MAJ KB... :
Catalogue Microsoft Update

Dans le champs de recherche, tapez le numéro KB.. Pour affiner la recherche, on ajoute généralement l'architecture du système : x64, x86. On peut également ajouter la version (22H2, 21H2 etc..) et parfois même "Windows 10" pour écrémer un peu le nombre de résultats !
Ensuite, tout est histoire de test !
Et ça peut être un peu long.
Téléchargez, rangez les fichiers téléchargés dans un dossier portant le numéro KB correspondant, tentez d'installer ces MAJ sur votre VM et vérifiez après à chaque fois avec 

Get-WUList

pour voir si la MAJ a bien été prise en compte ! (le numéro KB correspondant doit avoir disparu).

Faîtes les tests dont vous avez besoin, avec des applis métiers ou autres pour vous assurer que la MAJ ne fout pas le bordel.

----------------------------------------------------------------------------------------

En date du 1er janvier 2023, voici la liste des KB qu'il faut télécharger sur une version 22H2 de Windows 10 pro pour mettre à jour la version ISO 22H2. Cette liste évolue car les mises-à-jour de sécurité sont cumulatives.

- KB890830
- KB5021089
- KB5012170

- KB2267602 : introuvable sur le catalogue... il faut allez chercher celle-ci ailleurs  : ICI (mpam-fe)
Cliquez sur l'architecture correspondante à votre machine A de "Microsoft Defender Antivirus for Windows 11, Windows 10, Windows 8.1, and Windows Server". Le téléchargement commence. installez en double-cliquant sur le fichier téléchargé. Ne vous préoccupez pas si rien ne s'affiche, l'installation sera belle et bien effective. 

- KB4023057 : à laisser tomber.
- KB5021233
- KB4052623

Pour vous aider un peu (car le processus n'est clairement pas simple), sachez que vous ne parviendrez pas à déployer la KB4023057 à cause d'un problème avec le service Windows Remediation.
Inutile de batailler avec celle-ci, elle concerne ... Windows Update !
Laissez-la tomber.
Par ailleurs, il y a de grandes chances que vous ne parveniez pas à régler le problème de ce service foireux, aucun tutoriel de réparation ne fonctionne. (ni sfc, ni dism, ni aucun réparateur de registre que je connaisse !).

----------------------------------------------------------------------------------------

Une fois que vous avez réussi à obtenir une Get-WUList vierge de KB (ou avec la KB4023057 restante seulement), vous pourrez transférer vos dossiers de MAJ KB téléchargées sur la machine A.

Pour continuer :
- Préparez le réseau hébergeant la machine A.. avec un pare-feu qui neutralise les flux non nécessaires.
- Procéder à l'installation de Windows sur votre machine A, non connectée ! (j'insiste lourdement sur ce point !!)
- Allez dans les services (services.msc) et désactivez le démarrage du service Windows Update (démarrage manuel)
- Connectez votre machine à internet.
- Récupérez les MAJ de la machine B et procédez à leur installation sur A.

Voilà !
C'est juste une base... le sujet des MAJ manuelles est assez complexes...
Et encore, il n'y a plus de .cab à installer avec dism comme avant... suffit de double cliquez dessus et un .exe apparaît !

Avant de supprimer une machine, et pour savoir si votre licence office (2016, 2021... on ne parle pas de 365 ici) pourra de nouveau être entrée, vous devez connaître le type de la licence que vous possédez.
Pour ce faire, ouvrez un invite de commande et tappez :

cd c:\Program Files\Microsoft Office\Office16\

cscript OSPP.VBS /dstatus

Regardez  à "Licence description".
S'il est indiqué RETAIL ou FPP, alors désinstallez la version actuelle d'Office, et ré-installez le sur votre nouvelle machine (puis ré-activez).

Un programme de notification qui s'exécute et qui est impossible à arrêter, c'est pénible.
(mais ça vaut aussi pour empêcher l'exécution d'un programme pour des travailleurs.... quand on a pas de serveur et de GPO !)
Voici comment l'empêcher de s'exécuter !

1) Dès lors que le programme se lance indésirable se lance, ouvrez le gestionnaire des tâches pour l'identifier
2) Clic-droit sur le programme en question, Ouvrir l'emplacement du fichier, copier son nom exact (casse-couille.exe)
3) Ouvrir l'éditeur de registres (regedit)
4) se déplacer dans HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies
5) Si à l'intérieur de Policies ne se trouve pas un "dossier" (ça s'appelle une clef) nommé "Explorer", créez-la
(clic-droit sur Policies, Nouveau, clé, nommez-la Explorer)
Sinon, cliquez sur Explorer.
6) Dans la colonne des valeurs (à droite donc), clic-droit dans le vide, Nouveau, valeur DWORD (32 bits), nommez-la "DisallowRun"
7) Double-cliquez sur DisallowRun et passez les "Données de la valeur" à 1, puis cliquez sur OK.

8) Cliquez-droit sur la clef "Explorer" (dans le menu de gauche), Nouveau, Clé, nommez-la également "DisallowRun"
9) Cliquez sur la clef DisallowRun
10) Dans la colonne des valeurs (à droite donc), il n'y a qu'une seule valeur, la valeur "(par défaut)".
11) Cliquez-droit dans le vide, Nouveau, Valeur chaîne, nommez-la "1" (oui, juste 1)
12) Double-cliquez sur 1, et entrez dans "Données de la valeur" le nom de votre application : casse-couille.exe

13) Pour ajouter un second programme à cette liste de blocage, ajouter une valeur chaîne, nommez-la 2, et donnez-lui la valeur du second programme :

Et ainsi de suite !

Fort utile lorsqu'on ne dispose plus des drivers spécifiques à notre PC !

Sur une machine saine, à jour et connectée à internet (oui, ça télécharge les drives depuis le store)
Ouvrez PowerShell en mode Administrateur et tappez :

Export-WindowsDriver –Online -Destination c:\export-drivers

Et voilà, ouvrez votre poste de travail, allez dans C: et vous trouverez le dossier rempli de tous les drivers existants.

On m'objectera que les supports optiques sont morts, patati-patata...
Rien n'est plus faux... Et ce sont d'ailleurs, juste après les supports par bandes magnétiques (hors de prix et peu commodes) les supports les plus stables dans le temps... 
Les BDXL montent jusqu'à 128Go et les M-DISC atteignent les 100Go pour une durée de conservation véritablement intéressante (quoique.. peut-être un peu trop).
On ne cesse de répéter que la technologie optique va disparaître... ça fait maintenant plus de 15 ans que ce discours se fait entendre, et on trouve toujours ces supports dans le commerce, des CD/DVD/BD. Les lecteurs/graveurs sont désormais tous compatibles CD/DVD/BD.
On disait la même chose des bandes magnétiques LT (hors de prix et peu commodes, je le répète) et aujourd'hui on trouve des bandes de 64To en vente !!!
Les géants de la tech comme Facebook expérimentent des backups sur des supports optiques révolutionnaires, le support n'a pas encore dit son dernier mot, et à la différence d'une clef USB qui peut rendre l'âme rapidement, un disc, lui, peut être relu durant des années (à condition de faire attention).
Certains de mes DVD ont été gravé il y a plus de 15 ans, et les données dessus sont toujours totalement intactes !! (Je les conserve dans une pochette fermée, à l'abri de la lumière).
En ce qui concerne les BD, les plus vieux ont 5 ans, et il n'y a pas non plus de perte.
Je ne peux pas en dire autant de mes disques durs et de mes hébergements cloud !!

Bref,

Sur Windows, on a toujours tendance à utiliser des logiciels annexes pour graver des DVD et BD, mais l'Explorateur de fichiers le fait très bien aussi (d'ailleurs mieux que certains softs !)

La gravure est un "art" assez complexe, dont voici 2 règles fondamentales pour ne pas vous arracher les cheveux sur Windows.

1) Ne jamais croire une marque de DVD/BD vierges à graver sur la vitesse maximale de gravure que peut encaisser son support !
JAMAIS !!
A ce jeu, la marque la plus connue (que je ne citerai pas) est championne de l'imposture !!
Ce n'est pas qu'une question de ressources ni de graveur, le taux d'échec est élevé à la vitesse max annoncée... et au prix des disques, c'est juste scandaleux.
Il est parfois nécessaires de faire des tests pour trouver la vitesse de gravure optimale en fonction du support acquis (car oui, la vitesse optimale peut varier d'une marque à l'autre !! ça ne marche pas toujours mieux à 2x qu'à 4x)

A l'heure actuelle, les supports meilleurs marchés sont les MediaRange en vente sur Amazon (je ne touche pas de com.. je le précise). Ils annoncent une vitesse maximale de 6x... mais je vous le dis tout net, après les avoir testé sur environ 10 graveurs différents, 3 ordinateurs et 4 OS, il ne faut pas dépasser la vitesse 2x si on veut un taux de succès de 100%.. et contrairement à ce que disent les commentaires sur la qualité de ces médias, ils sont de très bonne qualité ! 
Premier conseil donc : ne pas dépasser 2x ! Certes, c'est plus long, mais cela élimine le risque d'erreurs.

C'est donc une question de vitesse...

...et de disponibilité des ressources tout au long du processus ! (ce qui m'emmène au second point)


2) La gravure demande une stabilité et une disponibilité des ressources importantes ...
Donc, second conseil, avant toute gravure, lancez votre gestionnaire de tâches (CTRL + ALT + SUPPR), allez dans l'onglet "Détails", cliquez-droit sur "Explorateur Windows" et affectez une priorité "HAUTE" !
Et bien sûr, évitez de surmener votre machine durant le processus de gravure.. Ne faîtes rien, c'est même mieux ! Et prenez votre mal en patience !

En ce qui concerne le graveur, je peux vous citer un de ceux que j'utilise le plus, le TECHPULSE120, compatible avec les BDXL et M-DISC.
Comme son nom l'indique, il vaut 120euros. Ce n'est pas donné, mais il tourne très bien.
Attention à avoir un port USB 3.0 qui délivre bien les 5v nécessaires, mais même sur mes portables, ça marche très bien (là non plus, je ne touche pas com !)

HexChat a l'intérêt d'être entièrement gratuit !

Télécharger et Installer HexChat sur votre PC :
https://hexchat.github.io/downloads.html

Lancez HexChat, Suivez les étapes sur l'image.
Une première page de configuration apparaît, choisissez d'abord un pseudo (ici, ce sera boubou2).
Vous êtes libres de ne pas renseigner de Nom d'utilisateur.
Créez un réseau nommé "GRETA" (peu importe le nom que vous lui donnez).
Puis éditez-le.

Cliquez sur Editer et inscrivez l'IP du serveur IRC/numéro de port 6667 tel que renseigné ci-dessous, et appuyez sur TAB
Cocher comme ci-dessous, et inscrire le mot de passe "tssr" dans le champ en bas, appuyez sur TAB
Fermer

De retour sur la première page, cliquer sur connecter

Vous devez à présent choisir un salon (je n'ai créé que TSSR pour l'instant).
Validez

Vous voilà connectés au salon TSSR sur le serveur IRC !

Quelques commandes en IRC à connaître :
/join nom-du-canal : pour rejoindre ou créer un canal
/kill nom-d'une-personne : pour déconnecter une personne
/kline IP-ou-utilisateur : pour bannir une ip ou un utilisateur du serveur
/gline, /zline IP-ou-utilisateur : pour bannir une ip ou un utilisateur du réseau
/admin : pour savoir qui est l'administrateur et comment le contacter
/oper pseudo mot-de-passe : pour se loguer en oper

Pour envoyer un fichier à quelqu'un :
/dcc send PSEUDO-DESTINAIRE file:///chemin-du-fichier-à-envoyer
(glisser/déposez votre fichier dans la barre de saisie de texte de HexChat pour obtenir le chemin)

D'autres commandes sont disponibles sur le lien suivant :
https://www.unrealircd.org/docs/User_%26_Oper_commands

Ouvrir un invité de commande en mode administrateur :

Autoriser le Ping :

Pour l'IPv4 :

netsh advFirewall Firewall add rule name="Regle PING IPv4" protocol=icmpv4:8,any dir=in action=allow

Pour l'IPv6 :

netsh advFirewall Firewall add rule name="Regle PING IPv6" protocol=icmpv6:8,any dir=in action=allow

Interdire le Ping :

Pour l'IPv4 :

netsh advFirewall Firewall add rule name="Regle PING IPv4" protocol=icmpv4:8,any dir=in action=block

Pour l'IPv6 :

netsh advFirewall Firewall add rule name="Regle PING IPv6" protocol=icmpv6:8,any dir=in action=block

Que faire si vous ne pouvez accéder à ncpa.cpl ou à la configuration de votre carte réseau via les fenêtres et les clics ?

Vous souhaitez paramétrer la configuration réseau suivante dans votre server :
IP : 192.168.240.40
masque : 255.255.255.0
passerelle : 192.168.240.254
DNS : 1.1.1.1

Ouvrez un invité de commande en mode administrateur

1) Récupérer le nom de la carte Réseau à Paramétrer :
ipconfig

Carte Ethernet Ethernet 2 : 
    Suffixe DNS propre ...
...

2) Procédez à la configuration IP
netsh interface ip set address name="Ethernet 2" static 192.168.240.40 255.255.255.0 192.168.240.254

3) Procédez à la configuration DNS :
netsh interface ip set DNS name="Ethernet 2" static 1.1.1.1

Voilà !

Dans un shell PowerShell en mode Administrateur :

Set-Location "C:\Program Files\Oracle\VirtualBox"

.\VBoxManage.exe modifyvm "NOM-DE-VOTRE-VM" --nested-hw-virt on

La première partie est le chemin d'installation du logiciel.
Il est peut-être différent, vérifier d'abord et modifier en conséquence

Il est parfois utile de pouvoir faire la conversion entre un disque VDI dynamiquement alloué et fixe (et réciproquement).
Cela se fait en créant un clone du VDI, mais lors de la création du clone, on change la variable (Fixed pour fixe, Standard pour dynamique)
Pour rappel, un VDI dynamique peut être plus facile à gérer, mais il est aussi plus lent qu'un fixe.
Et il y a souvent des problèmes.


Pour passer d'un disque dynamic à un disque fixed :

Dans l'invité de commandes Windows :
VBoxManage.exe clonemedium disk "C:\chemin\jusquau\disque\source.vdi" "C:\chemin\jusqu'a\destination\du\clone.vdi" --variant Fixed

Pour passer d'un disque fixed à un dynamic :

VBoxManage.exe clonemedium disk "C:\chemin\jusquau\disque\source.vdi" "C:\chemin\jusqu'a\destination\du\clone.vdi" --variant Standard

Une fois le clonage terminé, vous devrez
faire l'échange des disques dans les paramètres de votre VM dans VirtualBox (Stockage), supprimer le disque et le remplacer par le clone que vous venez de créer.

A tapper dans l'exécuteur, ou après avoir frappé la touche windows, ou après avoir cliqué sur l'îcone (loupe) de recherche

Raccourcis clavier

Commandes disponibles dans l'invité de commandes ou Powershell

Je veux pouvoir atteindre le réseau 192.168.240.0/24 via la WAN address du pare-feu 192.168.0.203/24

1) On ouvre l'invité de commandes en mode administrateur

2) Ajouter la route :
Pour ajouter une route de façon temporaire :
route add  IP-RESEAU-A-JOINDRE mask MASK-RESEAU-A-JOINDRE PASSERELLE-POUR-Y-ALLER

Pour ajouter une route de façon permanente (-p)
route add -p IP-RESEAU-A-JOINDRE mask MASK-RESEAU-A-JOINDRE PASSERELLE-POUR-Y-ALLER

3) Vérifier que la route est bien prise en compte : 
route print (ou netstat -rn) 

Comment ajouter un enregistrement DNS directement sur votre hôte, afin qu'il soit en mesure de résoudre le nom d'un site internet sans utiliser de serveur DNS externe :

1) Ouvrir le bloc-note en mode administrateur :

2) Fichier -> ouvrir (ou directement CTRL+O)

3) dans le fenêtre qui apparaît, vous rendre dans le dossier 
C:\Windows\System32\drivers\etc
Une fois que vous y êtes, n'oubliez pas d'afficher Tous les fichiers (en bas à droite), pas uniquement les fichiers textes.
Ouvrez le fichier hosts

4) faîtes la modification que vous souhaitez (exemple ci-dessous pour le site intranet.tssr.info)

5) enregistrez et quittez.


Enfin, ultime étape : n'oubliez pas d'ajouter une route pour vous rendre sur le réseau hébergeant le serveur web !
(pour voir comment ajouter une route, regardez l'article sur "Ajout d'une route" dans ce même thème.