Forum Tranquil IT

Contactez nous
https://forum.tranquil.it/

[RESOLU] Problème déploiement waptagent

https://forum.tranquil.it/viewtopic.php?t=4567

Page 2 sur 3

Re: Problème déploiement waptagent

Publié : 19 mars 2026 - 10:13
par Renaud Villet
et pour info, la désactivation de l'AV ne corrige pas le pb
ces 2 processus sont toujours bloqués :
Capture d’écran 2026-03-19 100913.jpg
Capture d’écran 2026-03-19 100913.jpg (51.8 Kio) Consulté 6188 fois

Re: Problème déploiement waptagent

Publié : 19 mars 2026 - 13:58
par Renaud Villet
En fait mon collègue a créé un ticket pour ce pb (https://espaceclient.tranquil.it/support/2601197) ! ;)
Pour le moment nous avons contourné le pb en remettant l'ancien agent (en version2.6.1.17472), et ça fonctionne

Re: Problème déploiement waptagent

Publié : 31 mars 2026 - 09:46
par lfkl
Bonjour à tous,

Même problème ici, le déploiement du nouvel agent via GPO ne fonctionne pas.
On a essayé avec les options -- force, en enlevant le check minimum de version sur le script, rien n'y fait.
Ce n'est pas l'antivirus, les exceptions sont bien ajoutées.

Lorsqu'on lance l'agent "à la main" sur la poste, ça fonctionne.

Version 2.6.17765 et mes collègues me disent qu'il y avait déjà un problème avec la version antérieure.

On attend un correctif, je reçois 50 machines cette semaine :|

Cordialement.

Re: Problème déploiement waptagent

Publié : 31 mars 2026 - 14:36
par Hakim
Bonjour,

Même problème : j’ai utilisé le waptdeploy de la version précédente sans succès.
J’ai également réinstallé le serveur de cette version, toujours sans résultat.
Je déploie actuellement l’agent manuellement via une clé USB.

Re: Problème déploiement waptagent

Publié : 31 mars 2026 - 18:04
par htouvet
Je n'arrive pas à reproduire pour l'instant le problème.

Il y a eu pas mal de changements, liés à la sécurité depuis la version 2.6.1.17472.
Comme contournement, il lest possible d'utiliser le waptdeploy.exe de la version 2.6.1.17472 avec un waptagent.exe en dernière version
si le problème se situe dans waptdeploy.

Idéalement, il faudrait avoir du log de l'exécution (ou non) de la GPO qui lance waptdeploy avec le contenu de la sortie standard

Serait-il possible de modifier la GPO de la sorte :
- ajouter une redirection des la sortie standard de waptdeploy vers un log
-> Script GPO : cmd.exe
-> Argument GPO : /C " ... " >> c:\windows\temp\waptdeploy.log"
- ajouter du log pour l'installation de l'agent avec l'argument --setupargs="/LOG=c:\windows\temp\waptagent.log"

ça doit ressembler à

Code : Tout sélectionner

Script: c:\windows\system32\cmd.exe
Arg : /C ""\\mondomaine.lan\SysVol\asfrance.lan\Policies\{DE7ED1A0-C08D-4B2E-943E-610900D31082}\Machine\Scripts\Startup\waptdeploy.exe" --hash=2158caca675e986041ebf924d2ac09b1b5731dc3bba6c78be990097717596465 --minversion=2.7.0.18651 --wait=15 --waptsetupurl=http://wapt.mondomaine.lan/api/v3/get_waptagent_exe/{{ip}}/waptagent.exe --setupargs="/LOG=c:\windows\temp\waptagent.log"" >> c:\windows\temp\waptdeploy.log
Après forçage de la GPO (gpupdate /force) et redémarrage de la machine, quel est le contenu des deux fichiers
c:\windows\temp\waptdeploy.log
et
c:\windows\temp\waptagent.log


Pour info: changements de waptdeploy

* Chemins explicites dans le manifest pour les DLLs potentiellement utilisées par waptdeploy (pour éviter le DLL Hikacking)

Code : Tout sélectionner

<file name="version.dll" loadFrom="%SystemRoot%\system32\version.dll" />
 <file name="secur32.dll" loadFrom="%SystemRoot%\system32\secur32.dll" />
 <file name="cryptsp.dll" loadFrom="%SystemRoot%\system32\cryptsp.dll" />
 <file name="credssp.dll" loadFrom="%SystemRoot%\system32\credssp.dll" />
 <file name="ncrypt.dll" loadFrom="%SystemRoot%\system32\ncrypt.dll" />
 <file name="dnsapi.dll" loadFrom="%SystemRoot%\system32\dnsapi.dll" />
 <file name="iphlpapi.dll" loadFrom="%SystemRoot%\system32\iphlpapi.dll" />
 <file name="winnsi.dll" loadFrom="%SystemRoot%\system32\winnsi.dll" />
 <file name="rasadhlp.dll" loadFrom="%SystemRoot%\system32\rasadhlp.dll" />
 <file name="swdrm.dll" loadFrom="%SystemRoot%\system32\swdrm.dll" />
 <file name="advapi32.dll" loadFrom="%SystemRoot%\system32\advapi32.dll" />
 <file name="crypt32.dll" loadFrom="%SystemRoot%\system32\crypt32.dll" />
 <file name="kernel32.dll" loadFrom="%SystemRoot%\system32\kernel32.dll" />
 <file name="wldap32.dll" loadFrom="%SystemRoot%\system32\wldap32.dll" />
 <file name="ws2_32.dll" loadFrom="%SystemRoot%\system32\ws2_32.dll" />
* utilisation du répertoire <wapt>\private\tmp si il existe pour le téléchargement de "waptagent.exe"
* attente pendant au plus "--wait minutes" de l'arrêt des process 'waptagent.exe','waptsetup.exe','waptagent.tmp','waptsetup.tmp' avant de lancer l'installation de waptagent.exe. Si au bout du délai, ils ne se sont pas arrêtés, on les arrête de façon forcée.
* on attend l'arrêt des tâches en cours du service wapt pendant au plus 10 minutes avant de l'arrêter

Re: Problème déploiement waptagent

Publié : 03 avr. 2026 - 15:41
par jmeyer
Bonjour,

vous pouvez installer l'agent avec les paramètres "/VERYSILENT /MERGETASKS=useWaptServer" via un script par GPO en attendant.

Normalement, le message doit apparaitre qu'une fois au premier démarrage si l'option "Installer le paquet waptupgrade dès que l'agent le voit" est cochée ou qu'au pire il s'installe uniquement à l'arret de la machine.

Les seuls ordinateurs qui me posent problème sont ceux sans le paquet waptupgrade, absent de ma console ou avec l'agent non fonctionnel.
J'ai 100% des clients dans la console avec l'agent à jours malgré ce bug.

Re: Problème déploiement waptagent

Publié : 03 avr. 2026 - 16:30
par htouvet
le déploiement initial par GPO fonctionne en lançant waptdeploy via un "cmd.exe /C " ...""
la raison de la régression du comportement sur certains parcs n'est pas encore connue...

Code : Tout sélectionner

Script :  c:\windows\system32\cmd.exe
Arguments :  /C ""<chemin>\waptdeploy.exe" --hash=0731eee77445637c17c97f88cd5a53f0d39fac54549b9c3276b91b9195f57c16 --minversion=2.6.1.17765 --wait=15 --waptsetupurl=https://wapt.testdeploy.lan//api/v3/get_waptagent_exe/{{ip}}/waptagent.exe "

Exemple de l'argument (à adapter) :
/C ""\\testdeploy.lan\sysvol\testdeploy.lan\Policies\{31B2F340-016D-11D2-945F-00C04FB984F9}\MACHINE\Scripts\Startup\waptdeploy.exe" --hash=0731eee77445637c17c97f88cd5a53f0d39fac54549b9c3276b91b9195f57c16 --minversion=2.6.1.17765 --wait=15 --waptsetupurl=https://wapt.testdeploy.lan//api/v3/get_waptagent_exe/{{ip}}/waptagent.exe "

Re: Problème déploiement waptagent

Publié : 03 avr. 2026 - 16:38
par htouvet
le waptagent.exe en dernière version (2.6.1.17765) est flagué à tord comme trojan par un antivirus : WithSecure (
Trojan.TR/Crypt.XPACK.Gen3 ) mais c'est un autre problème que celui de waptdeploy mais pas waptsetup.exe (https://www.virustotal.com/gui/file/592 ... 37e083b088)

Re: Problème déploiement waptagent

Publié : 21 mai 2026 - 09:53
par steamera
Bonjour,

Je rebondis sur le flag à tord de waptagent.exe
Je suppose donc que c'est normal que le waptexit.exe issu du waptagent.exe 2.6.1.17787 a sa signature tagée comme menace également et qu'on peut whitelister safement ?

Check depuis VirusTotal

waptexit.exe :

Avast
FileRepMalware [Misc]

AVG
FileRepMalware [Misc]

Avira (no cloud)
TR/Crypt.XPACK.Gen3

DeepInstinct
MALICIOUS

Google
Detected

Ikarus
Trojan.Crypt

Sophos
Mal/Generic-S

Symantec
Trojan.Gen.MBT

Trellix ENS
Artemis!691222F8E96B

WithSecure
Trojan.TR/Crypt.XPACK.Gen3

Merci

Re: Problème déploiement waptagent

Publié : 22 mai 2026 - 10:54
par dcardon
Bonjour Kévin,

les anti-virus ne sont pas toujours très intelligents malheureusement... On est entrain de faire des petites modifications pour éviter de triggerer des faux-positifs. Par exemple, denier changement testé : ne pas compresser la table des caractères Unicode. En effet quand il y a du code à forte entropie (ce qui est le cas de code compressé), certains antivirus estiment que c'est du code chiffré/obfusqué qui peut cacher du code malveillant...

Le truc bizarre c'est que le même binaire waptexit en 64bit [1] est très bien vu sur VirusTotal [2]... Alors que c'est exactement le même code, juste la target de compilation qui est différente... (historiquement l'agent wapt windows est en 32bit, mais on compte bientôt le passer en 64bit par défaut, donc on compile tout sur les deux targets par défaut, même si le waptsetup.exe est encore 32bit only pour l'instant).

C'est dur la vie...

A savoir : la signature de nos binaires est faite dans la chaine de build avec une HSM hardware (avec clef privé généré localement sur le HSM hardware et non exportable), donc si c'est bien signé, ça sort bien de notre chaine de build.

Pour la petite histoire, il y a quelques années on avait du changé l'icône par défaut de l'application FPC/Lazarus (petite patte de chat), car c'était flaggé comme suspicieux, car il y a un jour qqun a écrit un virus avec ce langage...

Le mieux c'est que vous fassiez une nouvelle soumission à votre éditeur d'antivirus pour demander une ré-évaluation.

Denis

[1] https://wapt.tranquil.it/releases/wapt- ... ptexit.exe
[2] https://www.virustotal.com/gui/file/7eb ... d02d421503
Fuseau horaire sur UTC+02:00
Page 2 sur 3

Développé par phpBB® Forum Software © phpBB Limited

Traduction française officielle © Qiaeru