Dans la même rubrique

Accueil > Les groupes de travail > Groupe de travail SWMB > Groupe de travail SWMB

Groupe de travail SWMB

Le projet SWMB a été initié lors du comité d’animation de RESINFO fin 2019. SWMB signifie Secure Windows Mode Batch. Il s’agit de simplifier et d’automatiser la sécurisation d’un parc sous Microsoft Windows 10 (et Windows 11).

Le groupe SWMB se propose donc de faire un programme modulaire en PowerShell, de maintenance facile, qu’il suffit de lancer en mode batch au démarrage de la machine (ou toutes les heures par exemple) pour appliquer une politique de sécurité sur un parc Microsoft Windows 10 et 11. Afin de simplifier les tâches d’administration, des paquetages pour différents systèmes d’installation automatisé seront proposés à terme.

 Code source : https://gitlab.in2p3.fr/resinfo-gt/swmb/resinfo-swmb, à noter qu’il existe un paquet pour WAPT, PDQ Deploy, OCS Inventory...

Nous nous sommes appuyés sur un projet amont (Disassembler0 / Win10-Initial-Setup-Script) afin de ne pas réinventer la roue, ainsi que sur le document de l’ANSSI de juillet 2017 donnant des consignes assez claires sur la sécurisation de Windows 10. L’ensemble des scripts est actuellement hébergé sur la forge GitLab de l’IN2P3 (merci pour tout le travail de mise à jour et de maintenance) accessible à un grande majorité de la communauté ASR via l’authentification EduGAIN.

Un élément central nous a amené à la constitution de ce groupe. Il nous a semblé peu judicieux que l’ensemble des ASR de laboratoire refassent tous la même analyse des documents disponibles et trouvent, parfois difficilement, le bon paramètre à modifier. Par ailleurs, toutes les unités de recherche n’ont pas d’Active Directory. Voici quelques éléments autres :

 formation SIARS2 organisé par la DSI du CNRS et RESINFO qui a été rejoué en local à Grenoble par David GRAS et Gabriel MOREAU une première fois en septembre 2019 ;

 l’ANSSI propose depuis plusieurs années des réglages à faire dans Windows 10 sous forme d’un document texte ;

 Olivier DE MARCHI du laboratoire LEGI avait mis au point un script ayant pour objectif de suivre les recommandations de l’ANSSI en piochant ici ou là sur le web des bonnes pratiques ;

 David GRAS et Clément DEIBER faisaient l’équivalent sous forme clickodrome dans l’Active Directory de la DR11.