Stratégie de configuration de Windows Firewall

Windows Server 2003 Service Pack 1 (SP1) et Windows XP SP2 incluent le Windows Firewall basé sur l’hôte, nettement meilleur que son prédécesseur, Internet Connection Firewall (ICF). Contrairement à ICF, livré avec Windows 2003 et XP, Windows Firewall se prête à un déploiement généralisé dans l’entreprise, parce qu’il permet de configurer et d’administrer les statistiques de pare-feu à partir d’un point central, qu’il a des interfaces de configuration multiples, qu’il comporte beaucoup de nouvelles fonctions qui renforcent la sécurité du pare-feu.Pour que vous partiez du bon pied avec Windows Firewall, je donne quelques conseils sur sa planification, sa configuration et son emploi dans un environnement d’entreprise.

Les Microsoft TechDays 2008: focus sur les parcours Secteur Public, Enseignement et Recherche, Administration et Supervision

Découvrez en exclusivité, trois témoignages détaillants les parcours des Microsoft TechDays 2008: Secteur Public,  Enseignement et Recherche,  Administration et Supervision.

NAC : aspects techniques

Nul ne savait depuis quand l’appareil traînait dans la salle de conférence. Déguisé en magnétoscope, il ressemblait à un banal équipement obsolète et tout le monde l’ignorait. Jusqu’à ce qu’un visiteur demande s’il pouvait débrancher son câble Ethernet pour brancher son ordinateur portable.Les magnétoscopes n’ont pas de câbles Ethernet !
Le responsable de la sécurité informatique ouvrit aussitôt l’engin et découvrit le pot aux roses. À l’intérieur, un micro et un circuit imprimé avec une prise Ethernet qui, il y a quelques instants encore, était connectée à un port Ethernet de la salle de conférence. En définitive, le circuit imprimé n’était rien d’autre qu’un micro espion, rapportant à un serveur éloigné tous les propos de la salle de conférence. La piste s’arrêta là et il fut impossible de démasquer le coupable. De l’avis général, ce truc-là était présent depuis plusieurs mois.

Ce récit décrit un événement réel, mais – on le comprendra – la société concernée souhaite garder l’anonymat. Il illustre l’un des nombreux dangers que présente un port Ethernet non protégé. Il y en a beaucoup d’autres : des visiteurs qui se branchent pour scruter votre réseau ou pour utiliser abusivement la connexion Internet, des ordinateurs contaminés se connectant et infectant votre LAN, des appareils sans fil sauvages ouvrant votre réseau à l’intrusion à distance. Pourtant, à moins de verrouiller physiquement chaque port Ethernet, un administrateur de réseau était peu armé pour protéger cette ressource essentielle.

Heureusement une solution a pris la forme d’un nouvel ensemble technologique collectivement appelé NAC (Network Access Control). NAC vous aidera à sécuriser le port Ethernet omniprésent, de telle sorte que seuls les utilisateurs autorisés puissent se connecter, et qu’ils soient soumis à un minimum d’inspection en matière de logiciel malveillant, virus et failles de sécurité. NAC est utilisable dès à présent, mais pour bien le choisir, vous devez connaître les principes de base de son fonctionnement et l’étendue de ses options.

DNS

Récemment, mon réseau a souffert d’un problème intermittent de résolution de noms DNS. Franchement, traquer des bogues de résolution de noms n’est pas ce que je préfère. Et, malheureusement, mes compétences en dépannage DNS se sont rouillées au fil du temps. Il est vrai que DNS sait se faire oublier quand il fonctionne selon les normes: tout fonctionne : navigateur, client e-mail, serveur de courrier électronique, DC (domain controller). Comme je n’avais pas eu à dépanner DNS depuis des années, j’ai vu mon problème actuel comme une excellente occasion de rafraîchir mes compétences.Comme DNS est devenu la pierre angulaire d’un environnement AD (Active Directory) satisfaisant et parce que DNS est le liant des éléments d’Internet, il est essentiel de pouvoir détecter et résoudre rapidement les problèmes DNS du réseau. Voyons d’abord les subtilités du dépannage DNS en dehors de l’AD (Active Directory) puis voyons quelles complexités cet AD ajoute à l’ensemble.

Visualiser les données à  partir de WDSC

En pensant « WDSc », beaucoup pensent aussi « Ah oui, c’est ce qui me permet de coder mes programmes RPG au lieu d’utiliser PDM/SEU ». Bien vu ! Mais WDSc (WebSphere Development Studio client), ou peut-être plus précisément la RAD (Rational Software Development) plate-forme animée par Eclipse, va bien au-delà d’un coding sympa en RPG. Du développement de programmes RPG et d’applications Web à l’utilisation d’un générateur d’applications (comme Enterprise Generation Language ou EGL) et à l’exploration des bases de données où qu’elles se trouvent, les outils dont dispose WDSc peuvent remplir la mission.Cet article se concentre sur Data perspective de WDSc. Cependant, si vous faites tout le travail de base de données sur l’i5 avec des fichiers physiques et logiques provenant de DDS, il n’y a peutêtre pas là pour vous grand-chose de substantiel. Mais si vous utilisez SQL pour construire et maintenir des bases de données, ou si vous envisagez d’utiliser WDSc pour d’autres genres de développement applicatif que RPG (par exemple, applications Java, EGL d’IBM), alors la Data perspective deviendra rapidement votre amie.

Extraire les informations d’une page Web

Les administrateurs Windows doivent parfois extraire des informations spécifiques d’un document HTML. Ce peut être un fichier local, une page d’état sur un périphérique réseau du LAN, un rapport de base de données consultable sur le Web, ou une infinité d’autres types de pages. Dans tous les cas, l’utilisation des données provenant de ces sources pose deux problèmes.Le premier est de se connecter à la page Web et de lire les données qu’elle contient. Si une page n’est pas un fichier statique accessible par un share ou système de fichiers Windows situé quelque part sur le réseau géré, nous ne pouvons pas utiliser d’outils standard tels que l’objet Scripting.FileSystemObject pour le lire. Nous serons même parfois amenés à fournir un nom et un mot de passe utilisateur à l’unité servant la page Web.
Une fois ce problème résolu, vient le second encore plus ardu : comment extraire fiablement le petit bout d’information dont nous avons besoin à partir d’un HTML brut virtuellement illisible ? Ces deux problèmes peuvent être résolus grâce aux composantes standard présentes sur toute station de travail de type WSH (Windows Script Host) et un peu de réflexion. Je vais démontrer le processus général en analysant un script de démo qui contient une page Web d’un routeur DSL et extrait l’adresse IP publique du routeur.
Ensuite, je distillerai le processus en trois fonctions génériques permettant d’extraire des informations spécifiques d’une grande variété de pages. Dans mon propos, les mots informations et données ont chacun une signification particulière. Par informations, j’entends la chose particulière que nous voulons trouver – dans ce cas, l’adresse IP publique du routeur. Par données, j’entends le matériau de page brut qui contient les informations ainsi que les éléments sans intérêt qu’il convient de supprimer.

Actu Windows : stockage iSCSI / NetManage compatibles Vista / Panda Security / DEC Europe 2007

Adaptec, spécialiste des solutions de stockage sécurisées, annonce le lancement de la gamme de systèmes de stockage iSCSI Snap Server 700i. Avec des capacités comprises entre 1 et 36 To et facilement extensibles grâce à des disques SAS et SATA, la gamme 700i atteint des records en matière de performances. Elle vise les entreprises de […]

Best of Trucs & Astuces : démarrage de l’OS, certificats, .NET…

Best Off Trucs et Astuces partie 3 :

Découvrez notre sélection de 30 Trucs et Astuces inédits sur les environnements Windows Servers :

Sécurité des données, stratégies, gestion des performances, cas pratiques et retours d'expériences, retrouvez notre sélection des meilleurs Trucs et Astuces de ces derniers mois.

RPG peut consommer des services Web

J’adore le RPG car c’est le meilleur langage qui soit pour écrire des règles de gestion ! Comme les services Web consistent à intégrer des processus de gestion, le fait de pouvoir les appeler (ou, en jargon de services Web, les « consommer ») à partir d’un programme RPG est tout à fait pertinent.J’adore le RPG car c’est le meilleur langage qui soit pour écrire des règles de gestion ! Comme les services Web consistent à intégrer des processus de gestion, le fait de pouvoir les appeler (ou, en jargon de services Web, les « consommer ») à partir d’un programme RPG est tout à fait pertinent.

Regardons l’EFS de plus près

Sur diverses listes de messagerie traitant de la sécurité sur Internet, je vois souvent des administrateurs en quête de produits de cryptage de fichiers sûrs et transparents pour Windows. Au même rythme, des membres du management demandent comment empêcher les administrateurs réseau de voir certains fichiers confidentiels. Quand je leur parle d’EFS (Encrypting File System) de Windows, la plupart répliquent qu’ils veulent quelque chose de plus fiable et de plus sûr.Contrairement à la croyance générale, EFS est une solution de cryptage à la fois fiable, simple d’emploi et sûre. Et elle peut s’imposer même face aux droits de l’administrateur de réseau. EFS est capable de protéger des fichiers confidentiels sur le réseau et aussi sur les ordinateurs portables… si faciles à voler. Malheureusement, EFS a été injustement vilipendé par des utilisateurs qui, par principe, se refusent à évaluer objectivement tout produit de sécurité Microsoft.

J’irais même jusqu’à dire que EFS figure parmi les meilleurs produits de sécurité jamais proposé par Microsoft, mais à la condition de lui accorder le degré de planification et de connaissance qu’il mérite. Dans cet article, j’explique les principes de base d’EFS, j’évoque sa finalité et ses fonctionnalités et je recense les tâches administratives de base et les pièges.

Quest Software acquiert VizionCore

Souhaitant étendre ses solutions dans les environnements virtualisés, Quest Software a annoncé l’acquisition de VizionCore, éditeur proposant des logiciels de déploiement, de monitoring, d’administration et de sauvegarde de parcs de serveurs virtualisés.

L'occasion de se pencher sur la gamme complète Quest Software.

La sécurité plus facile avec 802.11G

Nous aimons tous la commodité et l’agrément des LAN sans fil (WLAN, wireless LAN). Grâce à eux, nous restons connectés loin du bureau. Nous pouvons accéder à Internet aussi facilement dans un cybercafé ou à la maison qu’assis à notre bureau. Un point d’accès (AP, Access Point) sans fil d’entrée de gamme coûte moins de 75 dollars, un prix qui fait de cet appareil l’un des périphériques informatiques les plus vendus depuis l’iPod.

 Et, pourquoi pas, vous pouvez littéralement brancher l’une de ces boîtes dans une prise électrique et dans votre réseau, et le tour est joué : vos portables équipés Wi- Fi se connecteront à votre réseau sans aucun fil. Mais, est-ce forcément une bonne chose ? Cette facilité est grosse d’un énorme risque pour vos réseaux de données. En effet, quand vous acceptez la configuration par défaut de beaucoup de ces AP peu coûteux, vous permettez à d’autres de se connecter à votre réseau ou d’en espionner le trafic tout aussi facilement. Heureusement, la plupart des AP sans fil comportent des fonctions faciles à configurer qui améliorent considérablement leur sécurité. En six opérations de base, vous pouvez sécuriser un petit WLAN doté d’un équipement 802.11g peu coûteux. Bien que 802.11g soit un standard IEEE, la plupart des fournisseurs proposent une myriade de fonctions fixes sur leurs produits AP sans fil. Les fonctions de sécurité restent tout de même homogènes, même si les fournisseurs baptisent différemment des fonctions semblables. Dans l’exemple de configuration présenté ici, j’utilise un Linksys WRT54G comme AP 802.11G. Le WRT54G est peu coûteux et très prisé pour le petit bureau, le domicile, et même le labo d’une grande société. Cet AP et ses congénères n’offrent bien sûr pas les mêmes prestations que les produits de classe entreprise, comme les gammes Proxim OriNOCO ou Cisco Systems Aironet. Cet article s’intéresse aux AP d’entrée de gamme basiques.

Fonctionnalités de sécurité liées à  la PKI Windows

Les services de sécurité avancés de la PKI ont longtemps été freinés par la crainte qu’un tel système soit lourd à gérer. Aujourd’hui les améliorations sur la gestion de ces services sont nombreuses, par exemple la PKI Microsoft s’interface aisément à l’Active Directory pour diffuser les certificats aux ordinateurs et utilisateurs. En outre, les solutions bâties sur les cartes à puce apportent une réponse industrielle et facilitent l’utilisation de la solution par les utilisateurs.Disponible par défaut avec Windows 2000 ou 2003 Server, les services PKI apportent de nombreuses fonctionnalités supplémentaires :

• Cryptage de fichiers avec le système EFS sous Windows XP
• Services d’authentification forte (SmartCard logon, WireLess…)
• Mise en place de réseau privé virtuel (VPN)
• Sécurisation des échanges avec IPSEC
• Messagerie sécurisée avec signature et cryptage S/MIME
• Signatures numériques (applications, macros, utilisateurs…)

Comprendre les éléments de sécurité reconnus, 1ere partie

Si vous n’avez pas utilisé les éléments de sécurité reconnus Windows, vous n’avez peut-être pas conscience de leur puissance et de leur complexité. Comme Microsoft en a ajouté de nouveaux à Windows Server 2003, il est bon de commencer à utiliser ce moyen pour administrer les paramètres de contrôle d’accès.Mais, avant d’entrer dans le détail de leur administration, j’aimerais passer en revue brièvement les éléments de sécurité en général et les éléments de sécurité reconnus particulièrement. La deuxième partie de cet article appronfondira l’administration de ces entités complexes.

Un élément de sécurité Windows est une entité authentifiée qui utilise les ressources (fichiers, imprimantes, etc.), les applications ou services qu’un ordinateur Windows héberge. Un élément de sécurité peut être un utilisateur, un ordinateur ou un groupe d’utilisateurs ou d’ordinateurs. Chaque élément de sécurité a un identificateur unique appelé SID.

Les éléments de sécurité reconnus sont une catégorie spéciale des éléments de sécurité. Ils représentent les entités spéciales que le sous-système de sécurité Windows prédéfinit et contrôle. Parmi quelques exemples, on retiendra Everyone, Authenticated Users, System, Self et Creator Owner.

Contrairement aux éléments de sécurité classiques, il n’est pas possible de renommer ou de supprimer les éléments de sécurité reconnus. Vous ne pouvez pas non plus créer les vôtres : ce sont les mêmes sur chaque système Windows, bien que la liste des éléments de sécurité reconnus disponibles varie légèrement selon la version de l’OS. Un élément de sécurité reconnu a également le même SID sur chaque système Windows. Par exemple, SID S-1-5- 10 représente toujours le élément de sécurité bien connu Self et SID S-1-3-0 représente toujours le principal Creator Owner.

Partager l’information en toute sécurité

Dans l’article « Cachez bien vos secrets » (octobre 2005), je vous présentais le cryptage par clé partagée et par clé publique/privée. Je soulignais que le cryptage par clé partagée est adapté au cryptage de masse de grandes quantités de données, que le cryptage par clé publique/privée convient mieux pour échanger des informations entre des interlocuteurs, et que l’on peut combiner les deux avec bonheur.J’expliquais aussi comment on peut combiner le cryptage par clé publique/privée avec le hashing, pour créer des signatures numériques qui prouvent à la fois l’identité de l’envoyeur d’un message et le fait que les données n’ont pas été modifiées depuis leur signature. Le cryptage par clé publique/privée est un moyen souple et efficace de prouver l’identité et de partager des informations sécurisées entre des gens qui ne se connaissent peut-être pas.
Mais il y a un autre détail important : les utilisateurs doivent pouvoir obtenir les clés publiques d’autrui avec la certitude que la clé publique d’un utilisateur est vraiment la sienne et pas celle d’un imposteur. Pour instaurer cette confiance, on a besoin d’une infrastructure qui facilite la publication des clés publiques. Ca tombe bien, une telle technologie existe : c’est PKI (public key infrastructure).

Famille System iAccess

Best of Trucs & Astuces : sécurtié d’un serveur, GPO, AD, Microsoft VSS…

Best Off Trucs et Astuces partie 2 :

Découvrez notre sélection de 30 Trucs et Astuces inédits sur les environnements Windows Servers :

Sécurité des données, stratégies, gestion des performances, cas pratiques et retours d'expériences, retrouvez notre sélection des meilleurs Trucs et Astuces de ces derniers mois.

Tous les actualités Windows Server de la semaine du 25 Juin au 01 Juillet 2007

Atos Origin, Microsoft et Compuware annoncent qu’ils s’associent pour proposer une solution clé en main de migration des applications d’entreprises développées en architectures Microsoft DNA (VB5/6, C++, …) vers l’architecture Microsoft .NET. Le « Migration Center for .NET » permet aux entreprises de préserver la valeur ajoutée métier de leurs applications par delà des évolutions […]

Les actualités System iNEWS de la semaine du 28 Mai au 03 Juin 2007.

Les conférences utilisateurs de COMMON France, en partenariat avec IBM et les Business Partenaires apportent aux utilisateurs des moments privilégiés d’échanges d’expériences. COMMON France regroupe les utilisateurs d’architecture IBM (historiquement orienté AS400), c’ est une fédération de différents clubs régionaux français, dédiée aux architectures System i. Très bien implantés en région, ces clubs d’utilisateurs répondent […]

Actualités Windows sem 5

Vous ne le savez peut-être pas, mais Internet Explorer 7 va être déployé automatiquement dans toutes les entreprises utilisant un serveur WSUS (Windows Server Update Services), à partir du 12 février 2008.Microsoft a donc mis en ligne sur sa page d’aide et support, une fiche destinée aux entreprises qui ne souhaitent pas cette installation. La […]