Attention : le support de WAPT 1.8.2 a pris fin le 30 juin 2022.

Il y a plusieurs vulnérabilité présente dans la branche WAPT 1.8.2.7393. Merci de mettre à jour sur la version supportée la plus récente. Liste des CVEs (non exhaustive) :
  • * python engine : python 2.7 (CVE-2020-10735, CVE-2015-20107, CVE-2022-0391, CVE-2021-23336, CVE-2021-3177, CVE-2020-27619, CVE-2020-26116, CVE-2019-20907, CVE-2020-8492, etc.)
  • * cryptography : openssl : CVE-2022-2068, CVE-2022-1292, CVE-2022-0778, CVE-2021-4160, CVE-2021-3712, CVE-2021-23841, CVE-2021-23840, CVE-2021-23839, CVE-2020-1971, CVE-2020-1968, CVE-2019-1551
  • * python dependencies : cryptography (CVE-2020-36242, CVE-2020-25659), eventlet (CVE-2021-21419), jinja2 (CVE-2020-28493), psutil (CVE-2019-18874), waitress (CVE-2022-31015), lxml (CVE-2021-4381, CVE-2021-28957, CVE-2020-27783, CVE-2018-19787), ujson (CVE-2022-31117, CVE-2022-31116, CVE-2021-45958), python-ldap (CVE-2021-46823)

Déployer l’agent WAPT

Deux méthodes sont possibles pour déployer l’utilitaire waptagent.exe.

La première est manuelle et la procédure doit être appliquée sur chaque machine.

La deuxième est automatique et s’appuie sur les GPO.

Note

L’installeur waptsetup.exe est disponible à l’adresse suivante : https://srvwapt.mydomain.lan/wapt/waptagent.exe.

Si vous ne signez pas le fichier waptagent.exe avec un certificat Code Signing commercial ou bien issu par l”Autorité de Certification de votre Organisation après l’avoir généré, les navigateurs web provoqueront un message d’alerte lors du téléchargement. Pour supprimer ce message d’alerte, il faut signer le fichier .exe avec un certificat Code Signing reconnu par le bundle de CA installé dans la magasin de certificats de la machine.

Indication

Dans quelles situations déployer WAPT manuellement ?

La méthode manuelle de déploiement est efficace dans les situations suivantes :

  • tester WAPT ;

  • maintenir à jour un petit parc de PC dans une petite entreprise, une association, etc ;

Déployer manuellement l’agent WAPT

Attention

Cette manipulation requiert les droits d”Administrateur Local sur la machine.

Installer waptagent.exe

  • choisir la langue pour l’installation puis cliquer sur Suivant pour passer à l’étape suivante ;

    Choose the installation language

    Choisir la langue pour l’installation

  • accepter la licence puis cliquer sur Suivant pour passer à l’étape suivante ;

    Accepting the EULA

    Accepter la licence

  • choisir le répértoire d’installation puis cliquer sur Suivant pour passer à l’étape suivante ;

    Select the installation folder for the WAPT agent

    Sélectionner le répertoire d’installation de l’agent WAPT

  • choisir les tâches complémentaires puis cliquer sur Suivant pour passer à l’étape suivante ;

    Indication

    laisser coché Force-reinstall VC++. Si l’option est cochée, c’est que l’installation du composant est nécessaire.

    Choose the installer's options

    Choisir les options d’installation

  • choisir le dépôt et le serveur puis cliquer sur Suivant pour passer à l’étape suivante ;

    Choose the WAPT repository and server

    Choisir le dépôt et le serveur WAPT

  • installer l’agent WAPT en cliquant sur Installer ;

    Summary of installation options

    Fenêtre récapitulative des options d’installation

  • attendre la fin de l’installation de l’agent WAPT puis cliquer sur Fin pour terminer ;

    Installation in progress

    Progression de l’installation

L’installation est terminée, avec cmd.exe, lancer un register pour enregistrer la machine sur le serveur WAPT et un update pour afficher la liste des paquets WAPT disponibles.

End of WAPT agent installation

Fin de l’installation de l’agent WAPT

Note

  • cocher Enregistrer cet ordinateur dans le serveur WAPT pour enregistrer l’ordinateur dans l’inventaire central WAPT ;

  • cocher « Mettre à jour la liste des paquets disponibles sur le dépôt principal pour télécharger la liste des paquets disponibles ;

Pour gérer les client WAPT, voir Comment utiliser la console WAPT.

Déployer automatiquement les agents WAPT

Important

Pré-requis techniques

Des connaissances avancées en administration de réseau et de système sont nécessaires pour réaliser cette procédure. Un réseau correctement configuré assurera son succès.

Indication

La méthode décrite dans cette section est particulièrement efficace dans les situations suivantes :

  • vous gérez un grand parc de machines ;

  • vous disposez d’un domaine SaMBa Active Directory ou Microsoft Active Directory pour lequel vous avez des droits d’administration suffisants ;

  • la sécurité et la traçabilité des actions est importante pour vous ou pour votre Organisation ;

  • ou bien tout simplement, vous préférez agir avec votre tête plutôt qu’avec vos pieds ;) ;

Déployer l’agent WAPT silencieusement

Sans waptdeploy

Le waptagent est un installeur InnoSetup, il peut donc être déployé silencieusement avec les arguments suivants :

waptagent.exe /VERYSILENT

  • Arguments supplémentaires disponibles pour waptdeploy

Description des options disponibles pour déployer l’agent WAPT silencieusement

Options

Description

/dnsdomain = mydomain.lan

Domaine dans le fichier wapt-get.ini rempli lors de l’installation.

/wapt_server = https://srvwapt.mydomain.lan

URL du serveur WAPT dans wapt-get.ini complétée lors de l’installation

/repo_url = https://repo1.mydomain.lan/wapt

URL du dépôt WAPT dans wapt-get.ini complétée lors de l’installation.

/StartPackages = basic-group

Groupe de paquets WAPT à installer par défaut.

/verify_cert= = 1 or relative path ssl\server\srvwapt.mydomain.lan.crt

Valeur de verify_cert entrée lors de l’installation

/CopyServersTrustedCA = path to a bundle to copy to ssl\server.

Ensemble de certificats pour les connexions https (à définir par verify_cert)

/CopypackagesTrustedCA = path to a certificate bundle to copy into ssl

Bundle de certificats pour la vérification des signatures de paquets

Indication

Le fichier iss pour l’installeur InnoSetup est situé ici C:\Program Files (x86)\wapt\ .

Vous pouvez l’adapter à vos besoins spécifiques. Une fois modifié il suffira de relancer la création d’un waptagent.

Pour voir les nombreuses options disponibles avec InnoSetup, rendez-vous sur la documentation InnoSetup.

Avec waptdeploy

Le waptdeploy est un petit exécutable qui :

  • teste la version installée de WAPT ;

  • télécharge par https l’installeur waptagent.exe ;

  • lance l’installeur en mode silencieux avec les options sélectionnées à la création du waptagent ;

/VERYSILENT /MERGETASKS= ""useWaptServer""

  • mettre à jour le serveur avec le statut de la machine (version WAPT, situation des packages) ;

    Note

    waptdeploy doit être lancé en tant qu”Administrateur Local, d’où l’utilisation d’une GPO.

Créer la GPO de déploiement avec WAPTdeploy

Télécharger waptdeploy.exe ici : https://wapt.tranquil.it/wapt/releases/latest/waptdeploy.exe.

Créer la GPO

  • créer une nouvelle stratégie de groupe install_wapt sur le serveur Active Directory (Microsoft ou SaMBa-AD) ;

  • ajouter la stratégie : Configuration Ordinateur ‣ Stratégies ‣ Paramètres Windows ‣ Scripts ‣ Démarrage ‣ Ajouter ;

    Creating a group strategy to deploy the WAPT agent

    Créer une stratégie de groupe pour déployer l’agent WAPT

  • cliquer sur Parcourir pour sélectionner le script waptdeploy.exe ;

    Finding the waptdeploy.exe file on your computer

    Rechercher le script waptdeploy.exe

  • copier waptdeploy dans le dossier ;

    Selecting the waptdeploy.exe script

    Sélectionner le script waptdeploy.exe

  • cliquer sur Ouvrir pour importer le script :program`waptdeploy.exe` ;

    Selecting the waptdeploy.exe script

    Sélectionner le script waptdeploy.exe

  • cliquer sur Ouvrir pour confirmer l’importation du script waptdeploy ;

Renseigner les arguments

Indication

À partir de la version 1.3.7, il est nécessaire de placer un checksum dans les paramètres de scripts.

Ceci permet de s’assurer que le waptdeploy ne lancera pas un installeur falsifié ou corrompu.

--hash="checksum du WaptAgent"--minversion=1.5.1.23 --wait=15

Note

Les paramètres complets à utiliser for the waptdeploy ainsi que le checksum du waptagent.exe sont désormais disponibles sur la page d’accueil du serveur WAPT local à l’adresse https://srvwapt.mydomain.lan.

Web console of the WAPT Server

Console Web du serveur WAPT

  • copier les paramètres indiqués ;

    add the *waptdeploy* script to the startup GPO

    ajouter le script waptdeploy à la GPO de démarrage

  • cliquer sur OK pour passer à l’étape suivante ;

    WAPTdeploy GPO to be deployed on next startup

    GPO WAPTdeploy to be deployed on next startup

  • cliquer sur OK pour passer à l’étape suivante ;

  • appliquer la stratégie sur l’OU qui contient les ordinateurs de l”UO (:term:`Unité Organisationnelle)` ;

Arguments supplémentaires disponibles pour waptdeploy

Arguments supplémentaires disponibles pour waptdeploy

Options

Valeur

Description

--force

Force l’installation de waptagent.exe même si l’agent WAPT est déjà installé.

--waptsetupurl

https://srvwapt.mydomain.lan/wapt/waptagent.exe

Donne explicitement le chemin / l’url de téléchargement de l’agent à installer

--tasks

autorunTray,installService,installredist2008,autoUpgradePolicy

Indique les tâches pour le programme d’installation waptagent. Par défaut, toutes les tâches sont activées

--wait

10

Timeout pour l’installation de l’agent WAPT.

--setupargs=

/dnsdomain=mydomain.lan /wapt_server= /repo_url=

Passer des arguments supplémentaires à waptagent

 
--hash="43254648348435423486"--minversion=1.8.1 --waptsetupurl=http://srvwapt.mydomain.lan/wapt/waptagent.exe --wait=10

Lancer waptdeploy avec une tâche planifiée

Pour un bon fonctionnement de waptdeploy, vous pouvez aussi exécuter la même GPO à l’arrêt de l’ordinateur ;

Vous pouvez également lancer waptdeploy avec une tâche planifiée installée par GPO.

Indication

Ce mode de fonctionnement est particulièrement efficace pour déployer WAPT sur des Postes Client où le réseau n’est ni disponible au démarrage ni disponible à l’arrêt.

La méthode consiste à utiliser une GPO « Copie de fichier », copiez les fichiers waptdeploy.exe et waptagent.exe :

  • Source : \mydomain.lan\netlogon\waptagent.exe Destination : C:\windows\temp\waptagent.exe

  • Source : \mydomain.lan\netlogon\waptagent.exe Destination : C:\windows\temp\waptagent.exe

    WAPT agent installation progress

    Propriétés affichant la copie des fichiers

  • copier waptdeploy.exe et waptagent.exe dans le partage netlogon sur votre serveur Active Directory.

  • créer ensuite une GPO de tâche planifiée qui lancera waptdeploy :

    C:\windows\temp\waptdeploy.exe

    Arguments :

    --hash="43254648348435423486"--minversion=1.5.1.23 --waptsetupurl=C:\windows\temp\waptagent.exe --wait=10

Attention

Les arguments « hash » et « min_version » changeront en réalité par rapport à cette documentation, à mesure que WAPT continuera de s’améliorer.

Task installation properties

Propriétés de la tâche d’installation

  • préciser ensuite une heure de lancement et préciser que la tâche doit être répétée toutes les 30 minutes ou jusqu’à sa réussite :

    Advanced properties of the installation task

    Propriétés avancées de la tâche d’installation

  • autorise que la tâche puisse démarrer même sur batterie :

    Power settings

    Configuration de la gestion de l’alimentation