4. FAQ - Agent

4.1. J’ai perdu ma clé privée WAPT

La sécurité des WAPT et leur bon fonctionnement reposent sur des ensembles de clés privées et de certificats publics.

La perte d’une clé privée nécessite donc de générer une nouvelle clé et ses certificats associés, puis de déployer les nouvelles clés et les nouveaux certificats sur les ordinateurs de l’Organisation.

La perte d’une clé n’est donc pas sans conséquences, et le processus de récupération d’une clé perdue n’est pas trivial, bien qu’il soit relativement simple.

4.1.1. Générer ou renouveler une clé privée

la procédure est :

  • Générer une nouvelle clé privée/un nouveau certificat public. Vous conserverez ensuite la clé privée (fichier .pem) dans un endroit sûr ;

  • Déployer, manuellement, en utilisant un GPO ou en utilisant un rôle Ansible (non documenté), le nouveau certificat .crt sur vos clients dans le dossier ssl.

    • C:\Program Files (x86)\ssl sur Windows;

    • /opt/wapt/ssl sur Linux et macOS.

4.1.2. Re-signature des paquets dans les dépôts

Les paquets WAPT hébergés sur les dépôts ont été signés en utilisant l’ancienne clé privée, vous DEVEZ re-signer chaque paquet du dépôt en utilisant la nouvelle clé :

4.2. Ma clé privée a été volée

Attention

La sécurité de WAPT repose sur la protection de vos clés privées.

WAPT ne gère pas encore la révocation des clés en utilisant une CRL.

La solution consiste à supprimer tous les certificats .crt associés à la clé privée volée, situés dans le dossier ssl :

  • C:\Program Files (x86)\ssl sur Windows;

  • /opt/wapt/ssl sur Linux et macOS.

Cette opération peut être réalisée à l’aide d’une GPO, manuellement, avec un paquet WAPT ou avec un rôle Ansible (non documenté).

Enfin, vous devrez suivre les mêmes étapes que pour la perte de votre clé privée.

4.3. Problèmes liés à l’enregistrement d’un hôte auprès de WAPT

Si vous faites une wapt-get register et qu’elle renvoie :

FATAL ERROR : ConnectionError: HTTPSConnectionPool(host='XXX.XXX.XXX.XXX', port=443): Max retries exceeded with url: /add_host

Vous devez vérifier que le port 443 est correctement transmis au serveur WAPT et qu’il n’est pas bloqué par un pare-feu.

4.4. Windows n’attend pas que le réseau fonctionne au démarrage

Par défaut, Windows n’attend pas que le réseau soit en place au démarrage de l’ordinateur.

Cela peut poser des problèmes lors de l’exécution de l’utilitaire de déploiement WAPT, car ce dernier a besoin d’une connectivité réseau pour récupérer le nouvel agent WAPT.

Il existe 2 solutions :

  1. Nous recommandons d’ajouter waptdeploy.exe aux scripts de démarrage et d’arrêt :ref:` sur le GPO <deploy_waptagent_with_GPO>`.

  2. Vous pouvez activer la GPO : Toujours attendre le réseau au démarrage de l’ordinateur et à l’ouverture de session avec Computer Configuration ‣ Administrative Templates ‣ System ‣ Logon ‣ Toujours attendre le réseau au démarrage de l’ordinateur et à l’ouverture de session

GPO pour attendre le démarrage du réseau

GPO pour attendre le démarrage du réseau

4.5. L’utilitaire WAPT Exit ne se lance pas.

Bien que le script soit enregistré dans la stratégie d’arrêt de sécurité locale, le script waptexit ne se lance pas à l’arrêt de l’ordinateur.

4.5.1. Arrêt hybride

Windows 10 hybrid shutdown MUST be disabled because it causes many problems and strange behaviors, disabling Hybrid Shutdown will restore the WAPT Exit script execution at shutdown.

L’arrêt hybride peut être désactivé en définissant une valeur dans le fichier wapt-get.ini de l’agent WAPT.

Il est possible de définir cette valeur lors de la création de l’agent WAPT.

Un paquet WAPT existe pour résoudre le problème de l’arrêt hybride : tis-disable-hybrid-shutdown.

4.5.2. Windows édition familiale

Les stratégies de sécurité locales ne sont pas disponibles lorsque vous utilisez un ordinateur Windows Home Edition, il est donc normal que le script ne se lance pas.

La solution consiste à utiliser une tâche planifiée qui lancera :file:C:\NProgram Files (x86)\NWapt\NWapt-get.exe avec l’argument upgrade.

4.5.3. GPO local corrompu

Il arrive parfois que les politiques de sécurité locales d’un ordinateur soient corrompues.

L’une des solutions possibles consiste à :

  • Supprimer les stratégies de sécurité locales en supprimant le fichier C:NWindowsNSystem32NGroupPolicyNgpt.ini ;

  • Redémarrer l’ordinateur ;

  • Réinstallez les tâches planifiées d’arrêt avec :

wapt-get add-upgrade-shutdown

Si le problème se reproduit, cela peut signifier qu’une autre application manipule également la GPO locale.

4.6. L’utilitaire WAPT Exit s’arrête au bout de 15 minutes et ne termine pas l’installation des paquets WAPT.

Par défaut, les scripts d’arrêt de Windows ne sont autorisés à s’exécuter que pendant 15 minutes.

Si un script n’est pas terminé avant cette limite, Windows l’interrompt.

Pour résoudre ce problème, augmentez la valeur pre_shutdown_timeout et la valeur max_gpo_script_wait dans le fichier wapt-get.ini de l’agent WAPT.

Définissez ces valeurs pour modifier le comportement par défaut.

max_gpo_script_wait = 360
pre_shutdown_timeout = 360

Le paquet WAPT tis-wapt-conf-policy définit cette configuration.

L’autre solution peut être d’utiliser la GPO File.ini.

Utilisation d'un fichier ini GPO pour configurer le délai d'exécution des scripts

Utilisation d’un fichier ini GPO pour configurer le délai d’exécution des scripts