Windows 11 comme hôte de laboratoire de test

  • Windows 11 est un excellent système hôte pour les laboratoires utilisant Active Directory, Intune, Configuration Manager et Microsoft 365.
  • Les kits de laboratoire Microsoft offrent des environnements virtuels complets et préconfigurés, prêts pour le déploiement, les tests et la gestion.
  • Il est possible de mettre en place des laboratoires avancés pour le débogage du noyau, le développement de pilotes et les scénarios de sécurité offensive et défensive.
  • Avec un matériel modeste et de bonnes pratiques de virtualisation, vous pouvez reproduire chez vous des infrastructures très similaires à celles d'une entreprise.
Lorena Figueredo

Minutes 13

Windows 11 comme hôte de laboratoire de test

Configurer un laboratoire de test utilisant Windows 11 comme système d'exploitation hôte C'est devenu l'un des moyens les plus pratiques d'apprendre, de tester des déploiements d'entreprise et d'expérimenter de nouveaux outils sans perturber votre environnement de travail réel. Que vous souhaitiez vous familiariser avec les machines virtuelles pour des tests d'intrusion ou simuler une infrastructure d'entreprise complète avec Active Directory, Intune, Configuration Manager ou Windows IoT, Windows 11 offre une base solide pour ce faire. Pour des guides pratiques sur la configuration d'un laboratoire personnel, consultez [lien vers les guides pertinents]. aménager un laboratoire virtuel à domicile.

L'idée est simple : utiliser Windows 11 comme système hôte et construire un « mini ​​centre de données » virtuel par-dessus. Avec des contrôleurs de domaine, des clients, des serveurs d'applications, des environnements de débogage de pilotes ou des environnements Microsoft 365 prêts à être testés sans crainte, vous pouvez créer un environnement remarquablement complet pour étudier, vous entraîner et expérimenter. En vous appuyant sur les guides et les kits de laboratoire officiels de Microsoft, ainsi que sur quelques techniques supplémentaires pour contourner certaines limitations matérielles sur des machines modestes, vous pouvez construire un environnement véritablement complet pour étudier, vous entraîner et expérimenter.

Windows 11 comme système hôte de laboratoire : approches et ressources disponibles

Lorsque nous parlons d'utiliser Windows 11 comme hôte de laboratoire de test Nous combinons essentiellement trois composants principaux : le système hôte, l’hyperviseur (Hyper-V, VMware, VirtualBox, etc.) et les modèles ou kits de laboratoire que nous exécuterons dans les machines virtuelles. Microsoft propose plusieurs environnements préconfigurés et performants, conçus précisément à cet effet.

L'un des plus complets est le kit de laboratoire de déploiement Windows 11 et Microsoft 365.Un ensemble de fichiers auto-extractibles qui déploie automatiquement un environnement de domaine comprenant des postes de travail, un serveur Configuration Manager et une passerelle Internet. Il inclut des versions d'évaluation de :

  • 11 Windows Enterprise (selon l'édition, 24H2, 25H2 ou similaire).
  • Windows Server (2022 ou 2025 dans les versions les plus récentes des kits).
  • Microsoft Configuration Manager dans les versions mises à jour (telles que 2203 ou 2409).
  • Windows ADK et PE pour les tests de déploiement.

Ce laboratoire de base est conçu pour se connecter facilement aux services Microsoft 365. En version d'essai : licences E5, applications Microsoft 365 pour les entreprises et Office 365 E5 avec Enterprise Mobility + Security (EMS). L'avantage principal ? Tout est quasiment prêt à l'emploi : domaine, clients joints, passerelle Internet et Configuration Manager déjà opérationnel comme point de gestion centralisé.

Un autre outil important est le laboratoire d'évaluation Microsoft Endpoint Manager.Ce module est axé sur l'apprentissage de l'utilisation de la console de gestion unifiée (Intune + Configuration Manager) pour administrer Windows 11 et les applications Microsoft 365. Cet environnement repose également sur Windows 11 Entreprise, un serveur équipé de Configuration Manager et de services compatibles avec Intune et Microsoft 365.

Outre ces kits d'entreprise, il existe des laboratoires plus « techniques » et de niveau inférieur.Par exemple, un laboratoire dédié au débogage en mode noyau avec WinDbg et l'exemple de pilote KMDF Echo. Ce type de laboratoire est conçu pour les développeurs de pilotes ou les ingénieurs en sécurité qui souhaitent comprendre le fonctionnement interne du noyau Windows : les interruptions IRQL, les piles d'appels, les processus, les threads, etc.

Scénarios que vous pouvez configurer sur Windows 11 en tant qu'hôte

L'un des avantages de l'utilisation de Windows 11 comme hôte de laboratoire L’avantage est que vous pouvez configurer plusieurs scénarios très différents en parallèle, sans impacter votre environnement de production. D’après les kits et guides officiels, les principaux domaines pratiques couverts sont :

1. Planification et préparation des infrastructures pour les environnements d'affairesC’est ici que vous accéderez à la section consacrée à l’infrastructure de bureau moderne. Vous pourrez notamment vous entraîner à :

  • Passerelle de gestion du cloud (CMG), pour gérer des ordinateurs distants via Internet sans exposer directement votre gestionnaire de configuration local.
  • Association des locataires et gestion conjointeAutrement dit, comment combiner ConfigMgr et Intune pour gérer le même appareil.
  • analyse des points de connexion (Endpoint Analytics), analyse des performances et de l'expérience utilisateur.
  • Optimisation de la distribution des mises à jour de Windows 11, en jouant avec l'optimisation de la livraison et différentes politiques.

2. Déploiement massif de Windows 11Grâce à l'environnement préconfiguré, vous pouvez simuler des déploiements typiques d'une organisation :

  • séquences de tâches de Implémentation du système d'exploitation avec Configuration Manager.
  • Scénarios de Pilote automatique Windowsde l'enregistrement des appareils à l'enregistrement Azure AD et à l'attribution des profils.

3. Maintenance du système Une fois Windows 11 déployé, essayez différentes méthodes de service :

  • Mises à jour via la stratégie de groupe (WSUS/GPO).
  • Maintenance avec Microsoft IntuneConfiguration des cycles de mise à jour, des calendriers et des fenêtres de redémarrage.
  • Maintenance avec Configuration ManagerGestion des collections, mise à jour des groupes et surveillance.

4. Gestion des appareils et des applications avec Intune, comprenant:

  • Gestion des périphériques Windows 11 avec profils de configuration, scripts et stratégies.
  • Gestion dynamique en fonction des attributs de l'utilisateur et de l'appareil.
  • Distribution de Applications Win32 en utilisant Intune.
  • Scénarios de assistance à distance aux utilisateurs.

5. Déploiement et maintenance des applications Microsoft 365 pour les entreprises, aussi bien sur les ordinateurs joints au domaine que sur les appareils AD hybrides ou non classiques :

  • Implémentations géré dans le cloud d'Intune.
  • Implémentations géré localement avec le Gestionnaire de configuration.
  • Installations sur des appareils non joints à Active Directory mais gérés.
  • Maintenance des applications sur les deux plateformes.
  • Distribution de Applications pour équipes et secteurs d'activité (LOB).
  • Utilisation filtres d'allocation segmenter les déploiements.

6. Administration de Microsoft Edge dans les environnements professionnels :

  • Déploiement et mise à jour contrôlés du navigateur.
  • configuration Mode Internet Explorer (mode IE) pour les applications héritées.
  • Personnalisation de la page nouvel onglet d'entreprise.

7. Sécurité et conformitéC'est là que les choses deviennent intéressantes pour les équipes rouges et les équipes de sécurité défensive :

  • Configuration et test de BitLocker.
  • Gestion Antivirus Microsoft Defender et ses politiques.
  • Le déploiement de Windows Hello pour les entreprises.
  • Activation de Credential Guard et autres protections d'identification.
  • Preuve de Microsoft Defender Application Guard, Contrôle des applications et la protection contre les vulnérabilités.
  • Intégration avec Microsoft Defender pour points de terminaison dans des environnements de test.

Laboratoires de débogage et de développement de pilotes Windows 11

Windows 11 comme hôte de laboratoire de test

Au-delà de la sphère « informatique d'entreprise », Windows 11, en tant qu'hôte, permet de configurer des laboratoires de débogage en mode noyau. Ces outils sont une véritable mine d'or pour les développeurs de pilotes et les analystes de sécurité. Un laboratoire typique de ce type repose sur deux machines Windows 11 : une machine hôte et une machine cible, reliées par un réseau Ethernet pour la session de débogage.

Exemple de laboratoire WinDbg pour le débogage du noyau avec un pilote KMDF Echo Il se concentre sur l'enseignement, étape par étape, de la manière de travailler avec :

  • Commandes de base du débogueur Windows (WinDbg).
  • Commandes standard sur les piles d'appels, les IRQL, les threads et les processus.
  • Commandes avancées spécifiques au pilote (commandes de type !extensión).
  • Utilisation correcte des symboles et des fichiers PDB.
  • Mise en place et gestion des points de rupture en temps réel.
  • Visualisation des arborescences de périphériques Plug and Play, des modules chargés, etc.

Pour configurer cet environnement, le matériel de laboratoire minimal comprend ::

  • Un PC hôte avec Windows 11.
  • Un deuxième PC de destination (ou VM) exécutant également Windows 11.
  • Un simple commutateur ou routeur et un câblage Ethernet.
  • Accès à Internet pour télécharger les symboles et les outils.

Au niveau logiciel sur l'hôte, vous avez besoin Visual Studio, le SDK Windows 11, le WDK et le pilote d'exemple Echo pour Windows 11. Avec cela, vous pouvez télécharger le code depuis GitHub, le compiler, le signer en mode test et le déployer sur la machine cible, où vous l'installerez ensuite à l'aide d'outils comme DevCon.

Le flux de travail typique dans ce laboratoire comprend plusieurs phases très bien expliqué dans les guides :

  • Configurez le débogage du noyau sur le réseau à l'aide de KDNET, en enregistrant l'adresse IP de l'hôte et en activant le débogage dans le BCD de la machine cible.
  • Démarrez WinDbg sur l'hôte avec la chaîne de connexion appropriée (-k net:port=...,key=...), attendre que la destination redémarre et que la connexion soit établie.
  • Apprenez à utiliser la fenêtre de commande WinDbg, où les commandes sont saisies et le résultat affiché.
  • Essayez des commandes comme vertarget, lm, lm v, x, !lmi, !dhetc., pour inspecter le système.
  • Configurer les chemins des symboles avec .symfix y .sympath+et recharger avec .reload /f disposer d'informations de débogage complètes.

Une fois le pilote Echo installé sur l'ordinateur cible (préparation du système pour accepter les pilotes de test, installation du certificat, utilisation) devcon install echo.inf root\ECHO (et après avoir vérifié le périphérique dans le Gestionnaire de périphériques), le débogage proprement dit entre en jeu : définition de points d’arrêt sur des fonctions telles que EchoEvtDeviceAdd o EchoEvtIoWriteExécutez l'application de test EchoApp.exe et observer le flux d'exécution en mode noyau. Pour les techniques d'analyse des menaces de bas niveau, il est conseillé de consulter des guides sur la manière de procéder. Détecter les rootkits avec RootkitRevealer.

Le guide aborde des aspects clés tels que:

  • Utilisation des points d'arrêt bp, bu, bm et les points de rupture de données ba.
  • Navigation dans le code source avec le mode source activé et la configuration de .srcpath.
  • Visualisation des variables locales et globales avec dv et les fenêtres d'environnement local.
  • Exploration de la pile d'appels avec kb, kp o kn.
  • Inspection des processus et des fils avec !process, !thread et changement de contexte avec .thread.
  • vérification IRQL avec !irql et des enregistrements avec r.

Windows 11 sur du matériel modeste : passage aux tests de laboratoire annulés

Tout le monde ne dispose pas d'un serveur avec 128 Go de RAM à la maison.Il est néanmoins possible d'utiliser Windows 11 comme système hôte de laboratoire sur des machines bien moins puissantes. Sur les ordinateurs anciens ou les mini-PC dotés de processeurs modestes et d'une mémoire limitée, le programme d'installation de Windows 11 peut ne pas satisfaire certaines exigences, telles que le module TPM, la quantité minimale de RAM ou le démarrage sécurisé.

Certains passionnés se sont consacrés à modifier précisément cette partie., en modifiant le registre que le programme d'installation charge en mémoire lorsqu'il démarre à partir de la clé USB afin d'appliquer une série de « contournements » à ces vérifications :

  • Dérivation du TPA (lié aux exigences de la plateforme).
  • Contourner la vérification de la RAM, afin de réduire la mémoire minimale requise.
  • Contourner la vérification de démarrage sécurisé, surmontant ainsi le besoin d'un démarrage en toute sécurité.

Grâce à ces modifications, il est possible d'installer Windows 11 sur des appareils relativement basiques.comme les anciens disques durs de bureau ou les ordinateurs portables bas de gamme. Malgré cela, des avertissements clairs s'imposent : n'utilisez pas le même disque que votre système professionnel, limitez ce type d'installation à des fins pédagogiques et de test, et ne vous fiez pas à cet environnement pour des tâches critiques tant qu'il n'est pas correctement licencié et mis à jour. De plus, il est conseillé de savoir comment Configurer l'intégrité de la mémoire et autres protections avant de mettre une image en production.

Pour un laboratoire avec un hôte Windows 11 et plusieurs machines virtuellesL'idéal serait un ordinateur doté d'au moins 16 Go de RAM, d'un SSD performant et, si possible, de la virtualisation matérielle activée dans le BIOS. Il s'agirait ensuite de répartir les ressources entre l'hôte et les machines virtuelles en fonction de vos besoins.

Création du laboratoire : hyperviseur, machines virtuelles et bonnes pratiques

Avec Windows 11 comme système hôte, vous disposez de plusieurs options de virtualisation.Hyper-V (inclus dans les éditions Pro/Enterprise), VMware Workstation ou Player et Oracle VirtualBox. Chacun a ses spécificités, mais l'approche générale est similaire : une machine virtuelle par rôle (contrôleur de domaine, client, serveur SQL, etc.). Pour simplifier, utilisez les machines virtuelles préconfigurées des kits de laboratoire Microsoft.

Dans un cas typique de laboratoire « mixte » avec deux machines virtuelles Dans le cas d'un système Windows et d'un système Linux, la solution la plus judicieuse consiste à allouer une quantité raisonnable de RAM et de CPU au système hôte Windows 11 afin de garantir des performances optimales, et à répartir le reste entre les machines virtuelles. Par exemple, sur une machine dotée de 32 Go de RAM, vous pouvez allouer 8 à 10 Go au système hôte et 10 à 12 Go à chaque machine virtuelle, en ajustant la répartition en fonction de la charge. Sur les processeurs multicœurs, réserver 2 à 4 cœurs au système hôte et les autres aux machines virtuelles donne généralement de bons résultats.

Concernant les logiciels de virtualisation pour les laboratoires de test sous Windows 11:

  • Hyper-V C'est la solution idéale si vous souhaitez vous rapprocher des solutions utilisées dans de nombreuses entreprises et suivre scrupuleusement les guides de Microsoft, notamment pour les kits Windows 11 + Microsoft 365 ou Windows IoT Enterprise.
  • VMware Il reste très pratique pour ceux qui le connaissent déjà et s'intègre bien aux instantanés et aux réseaux virtuels un peu plus avancés.
  • VirtualBox C'est une option gratuite très populaire pour débuter et expérimenter, suffisante pour la plupart des scénarios d'apprentissage.

Un point intéressant concerne les sources d'installation des machines virtuelles Windows.Sur un système hôte doté de Windows 11 préinstallé, vous pouvez créer une clé USB de récupération, mais ce n'est pas toujours la meilleure solution pour installer une machine virtuelle. La méthode la plus simple consiste généralement à télécharger les images ISO officielles d'évaluation ou à usage interne (Windows 11, Windows Server, Windows 11 IoT Enterprise LTSC) depuis le Centre d'évaluation ou les portails de licences, puis à les utiliser directement comme support d'installation sur l'hyperviseur.

Pour Windows IoT Enterprise, par exemple, le flux de base comprend Préparez un PC technique sous Windows 11, installez le kit de développement logiciel (ADK) et les outils de déploiement, munissez-vous de l'ISO LTSC d'IoT Enterprise et créez un support d'installation (clé USB ou ISO associée à une machine virtuelle de référence). Démarrez ensuite le périphérique de référence, effectuez une installation standard de Windows, suivez la procédure de configuration initiale (OOBE) et passez en mode audit. Ctrl+Shift+F3 afin de pouvoir personnaliser l'image avec Sysprep.

Si votre domaine d'expertise est le test d'intrusion ou la sécurité offensive,Windows 11, utilisé comme hôte, sert de base pour configurer un domaine Windows Server 2022/2025, y ajouter un ou plusieurs postes de travail Windows 11, puis le corrompre « intentionnellement » avec des projets comme BadBlood.

L'idée est simple : vous commencez par configurer un contrôleur de domaine avec Windows Server., vous créez le domaine (par exemple, thehackerway.localEnsuite, configurez un poste de travail virtuel Windows 11 qui utilise l'adresse IP du contrôleur de domaine comme serveur DNS. Depuis ce poste de travail :

  • Vous renommez l'équipe avec un nom clair, comme Poste de travail THW.
  • Vous configurez la carte réseau pour utiliser l'adresse IP du contrôleur de domaine comme serveur DNS.
  • Vous utilisez l'assistant « Ajouter cet appareil à un domaine Active Directory local » pour l'ajouter au domaine.
  • Vous vérifiez dans « Utilisateurs et ordinateurs Active Directory » que la machine apparaît bien dans le conteneur « Ordinateurs ».

Une fois que votre domaine et certains clients sont opérationnelsVoici BadBlood, un script PowerShell qui remplit Active Directory d'objets aléatoires (utilisateurs, ordinateurs, unités d'organisation, groupes, listes de contrôle d'accès aux configurations non sécurisées, etc.) afin de simuler un environnement d'entreprise « réel », mais truffé de mauvaises pratiques. Il est idéal pour les tests et la détection d'attaques.

Le processus, en termes généraux, consiste en:

  • Copiez le script Invoke-BadBlood.ps1 au contrôleur de domaine.
  • Ouvrez PowerShell en tant qu'administrateur, assouplissez la stratégie d'exécution avec Set-ExecutionPolicy unrestricted.
  • Exécutez le script, acceptez les avertissements et écrivez badblood à la demande.
  • Veuillez patienter pendant que le domaine est rempli de centaines d'objets et de configurations vulnérables.

Il est important de noter que BadBlood ne propose aucun mécanisme permettant d'annuler les modifications.Il est donc conseillé de créer un instantané de la machine virtuelle du contrôleur de domaine avant de l'exécuter. Ainsi, vous pourrez revenir à l'état précédent après avoir terminé vos tests d'intrusion ou vos procédures de renforcement de la sécurité.

Avec ce type de laboratoire configuré sous Windows 11 comme système hôteVous pouvez vous entraîner aux attaques Kerberos, aux élévations de privilèges AD, à l'énumération des objets non sécurisés et, en parallèle, tester la réaction des outils de défense tels que Microsoft Defender for Endpoint, les stratégies de sécurité Intune, les restrictions d'exécution, etc.

Finalement, nous avons utilisé Windows 11 comme système d'exploitation hôte pour le laboratoire. Il vous permet de reproduire chez vous (ou dans un environnement contrôlé) de nombreux scénarios rencontrés en entreprise : déploiements massifs avec Configuration Manager et Autopilot, utilisation de Microsoft 365 E5, Edge géré, Windows IoT, développement et débogage de pilotes de bas niveau, et domaines Active Directory complets prêts à être testés ou renforcés. Avec du matériel performant, un peu de patience et les kits de laboratoire Microsoft, vous pouvez transformer un simple PC Windows 11 en un véritable laboratoire d’apprentissage technique.

logiciel de sauvegarde
Article connexe:
Comment configurer un laboratoire virtuel à domicile pour les réseaux et la sécurité