L’audit IT comme espace de données dans le programme

Dans Ewida Audit, le terme Audit IT désigne un espace de données dans lequel vous pouvez stocker des hôtes représentant des ordinateurs et les scanner de manière répétée dans le temps. Il ne s’agit pas d’un rapport unique, mais d’un environnement de travail dans lequel les résultats des audits successifs sont collectés.

Cette approche fonctionne bien dans une application de bureau Windows, car elle permet de travailler en continu avec les hôtes, les résultats de scan et l’historique des changements, sans devoir créer un nouveau projet à chaque nouveau contrôle.

Créer un nouvel audit

En général, un nouvel audit n’est créé qu’une seule fois, puis utilisé comme espace de travail principal. L’exception concerne les situations où les audits sont menés séparément pour différentes entreprises, succursales ou parties isolées d’une organisation.

En pratique, un utilisateur disposant d’une licence interne crée un audit pour son entreprise et effectue des scans récurrents des ordinateurs dans ce même espace de travail. Si l’entreprise souhaite toutefois répartir les données en plusieurs zones indépendantes, elle peut créer plusieurs espaces d’audit.

Assistant de nouvel audit

Pour démarrer l’assistant de nouvel audit, choisissez :
Menu > Audit > Nouveau

L’assistant guide l’utilisateur à travers plusieurs étapes de base. Elles comprennent :

  • la saisie des informations sur l’entreprise couverte par l’audit,
  • l’ajout d’hôtes, c’est-à-dire des ordinateurs prévus pour le scan,
  • l’installation facultative des Agents,
  • l’exécution facultative du premier scan.

L’ajout d’au moins un hôte est obligatoire. Les autres étapes peuvent être ignorées et reprises plus tard. Une fois l’espace d’audit créé, de nouveaux hôtes peuvent être ajoutés à tout moment, et le scan lui-même peut être lancé dès que nécessaire.

Ajouter des hôtes pour le scan

Dans Ewida Audit, un hôte représente un ordinateur à scanner. Pour démarrer l’assistant d’ajout d’hôtes, utilisez :
Menu > Hôte > Nouveau

Les hôtes peuvent être ajoutés de plusieurs façons :

  • Rechercher des hôtes (LAN) — recherche automatique des ordinateurs sur le réseau local.
  • Active Directory — importation des ordinateurs depuis un chemin LDAP spécifique.
  • Scan IP — parcours d’une plage d’adresses IP sélectionnée à l’aide de ping et des données DNS.
  • Saisie manuelle — ajout manuel d’un hôte avec une valeur correcte dans le champ Nom de l’hôte (HostName).
  • Importation — importation d’hôtes depuis un autre audit ou depuis la base de données Ewida Standard.
  • Fichiers de scan — création automatique d’un hôte lors du chargement de fichiers de scan.

En pratique, la méthode d’ajout des hôtes dépend du niveau d’organisation de l’infrastructure et de l’endroit où les données fiables sur les ordinateurs peuvent être obtenues le plus facilement.

Hôte et objets associés

Lors de la saisie des hôtes, vous pouvez également ajouter immédiatement leurs objets associés. Pour cela, passez en mode d’édition de l’hôte et ouvrez l’onglet Objets associés.

Les relations les plus couramment utilisées sont :

  • Licence — attribuée à l’hôte en mode audit-auto-match, ce qui permet d’associer automatiquement les licences aux logiciels détectés lors de la reconnaissance des données.
  • Utilisateur — l’hôte peut récupérer auprès de l’utilisateur des données de localisation, telles que l’emplacement, la succursale, la section et le numéro de salle.

Cela est utile lorsque, dès l’étape de préparation de l’audit, on sait déjà quel utilisateur est responsable d’un poste donné ou quelles licences doivent être prises en compte lors de l’analyse de l’hôte.

Fenêtre de scan des hôtes

Le scan distant des ordinateurs est lancé à l’aide de l’Assistant de scan des hôtes. Il peut être ouvert via l’option :
Menu > Audit > Scanner

La même fenêtre est également disponible depuis l’assistant de nouvel audit. C’est ici que vous choisissez les hôtes à scanner, définissez les méthodes de connexion et lancez l’ensemble du processus d’audit.

Modes de scan des ordinateurs

Chaque hôte peut être scanné avec une méthode différente. Dans le champ Mode de scan, vous choisissez la méthode de connexion pour un ordinateur donné. Trois modes de base sont disponibles :

  • Local — scan de l’ordinateur local sur lequel Ewida Audit est exécuté.
  • Agent — scan à l’aide d’un Agent installé au préalable.
  • DCOM — scan via une connexion DCOM distante, après configuration préalable du système.

Cela permet de combiner différentes méthodes de travail dans un seul processus. C’est important dans les environnements mixtes, où certains ordinateurs sont préparés pour les Agents et d’autres sont scannés ponctuellement via DCOM ou en local.

Ajouter, modifier et supprimer des hôtes du scan

Dans la fenêtre de scan, vous pouvez gérer la liste des ordinateurs inclus dans le processus en cours. Trois opérations de base sont disponibles :

  • Ajouter des hôtes au scan — via le bouton d’ajout ou le menu contextuel.
  • Modifier des hôtes — via le bouton de modification ou le menu contextuel de l’hôte.
  • Supprimer des hôtes du scan — suppression des hôtes sélectionnés, de tous les hôtes ou uniquement de ceux présentant des erreurs de connexion.

Il est important de se rappeler que supprimer un hôte du processus en cours ne le supprime pas de la base de données de l’audit. Cela signifie simplement que l’hôte sera ignoré lors du scan en cours d’exécution.

Test de connexion avant le scan

Avant de commencer le scan, chaque hôte doit réussir le test de connexion. Le test démarre automatiquement après l’ajout d’un hôte à la liste, mais il peut aussi être déclenché manuellement avec le bouton Test de connexion.

Il s’agit d’une étape importante, car elle permet de détecter les erreurs de configuration avant le lancement du processus réel. En pratique, il vaut mieux d’abord amener la liste des hôtes à un état sans erreur, puis seulement commencer le scan.

Erreurs DCOM les plus fréquentes

Avec les connexions DCOM, trois groupes de problèmes apparaissent le plus souvent :

  • No response to PING — signifie généralement un nom d’hôte incorrect, un ordinateur éteint ou une absence de disponibilité réseau.
  • The RPC Server is unavailable — indique le plus souvent une configuration incorrecte de l’accès DCOM distant.
  • Access Denied — signifie généralement des paramètres d’autorisation distante incorrects, par exemple l’identifiant administrateur et le mot de passe utilisés pour la connexion.

Lorsque des erreurs DCOM apparaissent, il vaut la peine de vérifier en même temps plusieurs éléments : le nom d’hôte, la réponse réseau, les paramètres du pare-feu, la configuration WMI ainsi que les identifiants attribués à l’hôte.

Démarrer et interrompre le processus de scan

Pour lancer le scan des ordinateurs, utilisez le bouton Démarrer le processus. Chaque hôte est scanné dans un thread séparé, et leur nombre total peut être configuré dans les options générales de l’audit.

Dans les environnements plus lents ou surchargés, le délai d’attente des requêtes distantes peut également être ajusté. C’est utile lorsque les connexions sont instables ou que les ordinateurs répondent avec retard.

Le processus peut être interrompu complètement avec le bouton Interrompre le processus, ou le scan peut être arrêté uniquement pour un hôte sélectionné via son menu contextuel.

Journal de scan de l’hôte

La progression du scan distant peut être suivie en temps réel. Utilisez pour cela le bouton Journal d’audit de l’hôte ou l’option correspondante dans le menu contextuel de l’hôte.

Pour l’ordinateur sélectionné, une fenêtre texte distincte s’ouvre, dans laquelle s’affichent les messages du processus en cours d’exécution. C’est très utile lors du diagnostic des erreurs, car cela permet de voir exactement à quelle étape le scan s’est arrêté ou ce qui a été exécuté correctement.

DCOM - quand cette méthode vaut la peine d’être utilisée

Le scan via DCOM est l’une des trois méthodes disponibles dans Ewida Audit. Elle convient bien lorsqu’il n’est pas nécessaire d’installer un Agent, mais que les ordinateurs sont correctement préparés pour des connexions administratives distantes.

Il faut toutefois garder à l’esprit que la configuration DCOM dépend de la version de Windows, des politiques de sécurité et des droits d’administration. Dans certains environnements, ce sera une méthode rapide et pratique, tandis que dans d’autres il sera plus judicieux d’utiliser un Agent ou le scan local.

Windows Firewall - activer l’administration à distance

Lors de la configuration de DCOM, l’un des premiers éléments à vérifier est le pare-feu Windows. Il faut s’assurer que l’administration à distance et les exceptions réseau nécessaires sont autorisées pour l’ordinateur concerné.

  1. Exécutez gpedit.msc.
  2. Accédez à la branche de stratégie liée au pare-feu Windows.
  3. Vérifiez les paramètres des exceptions d’administration à distance, ICMP, ports locaux et programmes locaux.

Dans certains environnements, une partie de ces paramètres peut déjà être appliquée de manière centralisée par un administrateur de domaine, ce qui signifie qu’il n’est pas toujours nécessaire d’effectuer toutes les modifications manuellement.

WMI - sécurité et autorisations

Le deuxième domaine important est la configuration WMI. Pour que le scan distant fonctionne correctement, vous devez vérifier si le groupe Administrators dispose des droits requis sur les espaces de noms WMI et sous-espaces de noms concernés.

  1. Exécutez wmimgmt.msc.
  2. Ouvrez les propriétés de WMI Control (Local).
  3. Accédez à l’onglet Security.
  4. Vérifiez les autorisations du groupe Administrators dans l’espace de noms Root et ses sous-espaces.

Le manque d’autorisations WMI provoque très souvent des problèmes lors de la lecture des données système et matérielles, même si l’hôte lui-même est accessible sur le réseau.

DCOM - paramètres par défaut

L’étape suivante consiste à vérifier les paramètres généraux de DCOM. Pour cela, ouvrez dcomcnfg.exe et accédez aux propriétés de My Computer dans la branche Component Services.

Il convient de vérifier en particulier :

  • si le modèle d’objet Distributed COM est activé,
  • si le niveau d’authentification est défini correctement pour l’environnement,
  • si le niveau d’usurpation d’identité permet une connexion correcte,
  • si le groupe Administrators possède les autorisations correctes de lancement et d’activation,
  • si les mêmes règles s’appliquent également aux limites de sécurité COM.

C’est précisément dans cette partie de la configuration que se trouvent souvent les causes des erreurs de type Access Denied ou des problèmes d’activation des connexions distantes.

Informations supplémentaires pour les problèmes de connexion difficiles

Si la connexion ne fonctionne toujours pas malgré des paramètres corrects du pare-feu, de WMI et de DCOM, il est utile de vérifier d’autres éléments de l’environnement.

Stratégies de sécurité locales

Dans secpol.msc, vous devez vérifier les paramètres du modèle de sécurité pour les comptes locaux. Dans certaines configurations, le mode classique est requis.

Anciennes versions de Windows

Sur des systèmes très anciens, des composants supplémentaires ou des entrées de registre liées à WMI et à DCOM peuvent être nécessaires. Cela concerne principalement des versions anciennes de Windows que l’on rencontre aujourd’hui très rarement.

Limitations de compatibilité connues

  • Windows XP Home ne prend pas en charge l’administration à distance sous la forme requise pour ce type de scan.
  • Certains anciens systèmes ont une compatibilité limitée avec les versions plus récentes de Windows.

En pratique, si l’environnement est très diversifié ou inclut des systèmes anciens, il est souvent plus rapide et plus fiable d’utiliser un Agent ou le scan local.

Compte Administrateur

Pour les connexions DCOM et les autres méthodes de scan distant, le bon compte administrateur est très important. Il faut s’assurer que le compte est actif, qu’un mot de passe est défini et qu’il est correctement indiqué dans la configuration de l’hôte dans Ewida Audit.

En pratique, cela signifie généralement vérifier l’état du compte Administrateur depuis la ligne de commande et s’assurer que les identifiants saisis dans le champ Autorisation distante correspondent à la configuration réelle de l’ordinateur cible.

C’est l’un des éléments les plus simples de la configuration, mais aussi l’un des plus souvent négligés. Sans identifiants administrateur corrects, même un ordinateur correctement préparé peut échouer au test de connexion.