Deploiement Cyberwatch Sans agent Windows

De Docaposte Cyberdéfense
Aller à : navigation, rechercher
Retour

Introduction

Le mode "sans agent" requiert une connexion stable depuis la machine Cyberwatch vers la machine à protéger. Il donne strictement les mêmes résultats d'analyse que le mode "avec agent" : la seule différence réside dans le sens des flux réseaux.

Flux du mode "avec agent" : Machine à protéger + agent -> Cyberwatch. Flux du mode "sans agent" : Cyberwatch -> Machine à protéger. Le mode "sans agent" dispose de trois stratégies de déploiement :

Déploiement sur Linux avec authentication par identifiant / mot de passe via SSH ; Déploiement sur Linux avec authentication par clé publique / privée via SSH (recommandé) ; Déploiement sur Windows avec authentication par identifiant / mot de passe via WinRM.


Windows WinRM

Déployer sur Windows avec une authentication identifiant / mot de passe 1. Créer un compte Administrateur spécifique à Cyberwatch

2. Sur le serveur Windows à protéger, activer le service WinRM sur le port 5985 avec la commande suivante : 

Enable-PSRemoting -Force

3. Si vous utilisez le pare-feu Windows, autorisez les flux WinRM avec la commande suivante : 

netsh advfirewall firewall add rule name="WinRM-HTTP" dir=in localport=5985 protocol=TCP action=allow
Récupérée de « https://csirt.docapost.fr/index.php?title=Deploiement_Cyberwatch_Sans_agent_Windows&oldid=1137 »