Stratégie de configuration de Windows Firewall

Windows Server 2003 Service Pack 1 (SP1) et Windows XP SP2 incluent le Windows Firewall basé sur l’hôte, nettement meilleur que son prédécesseur, Internet Connection Firewall (ICF). Contrairement à ICF, livré avec Windows 2003 et XP, Windows Firewall se prête à un déploiement généralisé dans l’entreprise, parce qu’il permet de configurer et d’administrer les statistiques de pare-feu à partir d’un point central, qu’il a des interfaces de configuration multiples, qu’il comporte beaucoup de nouvelles fonctions qui renforcent la sécurité du pare-feu.Pour que vous partiez du bon pied avec Windows Firewall, je donne quelques conseils sur sa planification, sa configuration et son emploi dans un environnement d’entreprise.

Les Microsoft TechDays 2008: focus sur les parcours Secteur Public, Enseignement et Recherche, Administration et Supervision

Découvrez en exclusivité, trois témoignages détaillants les parcours des Microsoft TechDays 2008: Secteur Public,  Enseignement et Recherche,  Administration et Supervision.

NAC : aspects techniques

Nul ne savait depuis quand l’appareil traînait dans la salle de conférence. Déguisé en magnétoscope, il ressemblait à un banal équipement obsolète et tout le monde l’ignorait. Jusqu’à ce qu’un visiteur demande s’il pouvait débrancher son câble Ethernet pour brancher son ordinateur portable.Les magnétoscopes n’ont pas de câbles Ethernet !
Le responsable de la sécurité informatique ouvrit aussitôt l’engin et découvrit le pot aux roses. À l’intérieur, un micro et un circuit imprimé avec une prise Ethernet qui, il y a quelques instants encore, était connectée à un port Ethernet de la salle de conférence. En définitive, le circuit imprimé n’était rien d’autre qu’un micro espion, rapportant à un serveur éloigné tous les propos de la salle de conférence. La piste s’arrêta là et il fut impossible de démasquer le coupable. De l’avis général, ce truc-là était présent depuis plusieurs mois.

Ce récit décrit un événement réel, mais – on le comprendra – la société concernée souhaite garder l’anonymat. Il illustre l’un des nombreux dangers que présente un port Ethernet non protégé. Il y en a beaucoup d’autres : des visiteurs qui se branchent pour scruter votre réseau ou pour utiliser abusivement la connexion Internet, des ordinateurs contaminés se connectant et infectant votre LAN, des appareils sans fil sauvages ouvrant votre réseau à l’intrusion à distance. Pourtant, à moins de verrouiller physiquement chaque port Ethernet, un administrateur de réseau était peu armé pour protéger cette ressource essentielle.

Heureusement une solution a pris la forme d’un nouvel ensemble technologique collectivement appelé NAC (Network Access Control). NAC vous aidera à sécuriser le port Ethernet omniprésent, de telle sorte que seuls les utilisateurs autorisés puissent se connecter, et qu’ils soient soumis à un minimum d’inspection en matière de logiciel malveillant, virus et failles de sécurité. NAC est utilisable dès à présent, mais pour bien le choisir, vous devez connaître les principes de base de son fonctionnement et l’étendue de ses options.

DNS

Récemment, mon réseau a souffert d’un problème intermittent de résolution de noms DNS. Franchement, traquer des bogues de résolution de noms n’est pas ce que je préfère. Et, malheureusement, mes compétences en dépannage DNS se sont rouillées au fil du temps. Il est vrai que DNS sait se faire oublier quand il fonctionne selon les normes: tout fonctionne : navigateur, client e-mail, serveur de courrier électronique, DC (domain controller). Comme je n’avais pas eu à dépanner DNS depuis des années, j’ai vu mon problème actuel comme une excellente occasion de rafraîchir mes compétences.Comme DNS est devenu la pierre angulaire d’un environnement AD (Active Directory) satisfaisant et parce que DNS est le liant des éléments d’Internet, il est essentiel de pouvoir détecter et résoudre rapidement les problèmes DNS du réseau. Voyons d’abord les subtilités du dépannage DNS en dehors de l’AD (Active Directory) puis voyons quelles complexités cet AD ajoute à l’ensemble.

Visualiser les données à  partir de WDSC

En pensant « WDSc », beaucoup pensent aussi « Ah oui, c’est ce qui me permet de coder mes programmes RPG au lieu d’utiliser PDM/SEU ». Bien vu ! Mais WDSc (WebSphere Development Studio client), ou peut-être plus précisément la RAD (Rational Software Development) plate-forme animée par Eclipse, va bien au-delà d’un coding sympa en RPG. Du développement de programmes RPG et d’applications Web à l’utilisation d’un générateur d’applications (comme Enterprise Generation Language ou EGL) et à l’exploration des bases de données où qu’elles se trouvent, les outils dont dispose WDSc peuvent remplir la mission.Cet article se concentre sur Data perspective de WDSc. Cependant, si vous faites tout le travail de base de données sur l’i5 avec des fichiers physiques et logiques provenant de DDS, il n’y a peutêtre pas là pour vous grand-chose de substantiel. Mais si vous utilisez SQL pour construire et maintenir des bases de données, ou si vous envisagez d’utiliser WDSc pour d’autres genres de développement applicatif que RPG (par exemple, applications Java, EGL d’IBM), alors la Data perspective deviendra rapidement votre amie.

Extraire les informations d’une page Web

Les administrateurs Windows doivent parfois extraire des informations spécifiques d’un document HTML. Ce peut être un fichier local, une page d’état sur un périphérique réseau du LAN, un rapport de base de données consultable sur le Web, ou une infinité d’autres types de pages. Dans tous les cas, l’utilisation des données provenant de ces sources pose deux problèmes.Le premier est de se connecter à la page Web et de lire les données qu’elle contient. Si une page n’est pas un fichier statique accessible par un share ou système de fichiers Windows situé quelque part sur le réseau géré, nous ne pouvons pas utiliser d’outils standard tels que l’objet Scripting.FileSystemObject pour le lire. Nous serons même parfois amenés à fournir un nom et un mot de passe utilisateur à l’unité servant la page Web.
Une fois ce problème résolu, vient le second encore plus ardu : comment extraire fiablement le petit bout d’information dont nous avons besoin à partir d’un HTML brut virtuellement illisible ? Ces deux problèmes peuvent être résolus grâce aux composantes standard présentes sur toute station de travail de type WSH (Windows Script Host) et un peu de réflexion. Je vais démontrer le processus général en analysant un script de démo qui contient une page Web d’un routeur DSL et extrait l’adresse IP publique du routeur.
Ensuite, je distillerai le processus en trois fonctions génériques permettant d’extraire des informations spécifiques d’une grande variété de pages. Dans mon propos, les mots informations et données ont chacun une signification particulière. Par informations, j’entends la chose particulière que nous voulons trouver – dans ce cas, l’adresse IP publique du routeur. Par données, j’entends le matériau de page brut qui contient les informations ainsi que les éléments sans intérêt qu’il convient de supprimer.

Actu Windows : stockage iSCSI / NetManage compatibles Vista / Panda Security / DEC Europe 2007

Adaptec, spécialiste des solutions de stockage sécurisées, annonce le lancement de la gamme de systèmes de stockage iSCSI Snap Server 700i. Avec des capacités comprises entre 1 et 36 To et facilement extensibles grâce à des disques SAS et SATA, la gamme 700i atteint des records en matière de performances. Elle vise les entreprises de […]

Best of Trucs & Astuces : démarrage de l’OS, certificats, .NET…

Best Off Trucs et Astuces partie 3 :

Découvrez notre sélection de 30 Trucs et Astuces inédits sur les environnements Windows Servers :

Sécurité des données, stratégies, gestion des performances, cas pratiques et retours d'expériences, retrouvez notre sélection des meilleurs Trucs et Astuces de ces derniers mois.

RPG peut consommer des services Web

J’adore le RPG car c’est le meilleur langage qui soit pour écrire des règles de gestion ! Comme les services Web consistent à intégrer des processus de gestion, le fait de pouvoir les appeler (ou, en jargon de services Web, les « consommer ») à partir d’un programme RPG est tout à fait pertinent.J’adore le RPG car c’est le meilleur langage qui soit pour écrire des règles de gestion ! Comme les services Web consistent à intégrer des processus de gestion, le fait de pouvoir les appeler (ou, en jargon de services Web, les « consommer ») à partir d’un programme RPG est tout à fait pertinent.

Regardons l’EFS de plus près

Sur diverses listes de messagerie traitant de la sécurité sur Internet, je vois souvent des administrateurs en quête de produits de cryptage de fichiers sûrs et transparents pour Windows. Au même rythme, des membres du management demandent comment empêcher les administrateurs réseau de voir certains fichiers confidentiels. Quand je leur parle d’EFS (Encrypting File System) de Windows, la plupart répliquent qu’ils veulent quelque chose de plus fiable et de plus sûr.Contrairement à la croyance générale, EFS est une solution de cryptage à la fois fiable, simple d’emploi et sûre. Et elle peut s’imposer même face aux droits de l’administrateur de réseau. EFS est capable de protéger des fichiers confidentiels sur le réseau et aussi sur les ordinateurs portables… si faciles à voler. Malheureusement, EFS a été injustement vilipendé par des utilisateurs qui, par principe, se refusent à évaluer objectivement tout produit de sécurité Microsoft.

J’irais même jusqu’à dire que EFS figure parmi les meilleurs produits de sécurité jamais proposé par Microsoft, mais à la condition de lui accorder le degré de planification et de connaissance qu’il mérite. Dans cet article, j’explique les principes de base d’EFS, j’évoque sa finalité et ses fonctionnalités et je recense les tâches administratives de base et les pièges.

Boîte à  outils System iNews : Période de rétention i5/OS /Problème de débit transactionnel i5 / Windows 2003 Server

Période de rétention i5/OS
Problème de débit transactionnel i5 / Windows 2003 Server

Windows 2003 Security log !

Dans Windows Server 2003, le Security event log (journal d’événements touchant à la sécurité) a plus d’informations que jamais auparavant. Mais il reste sombre et est plein d’event ID et de codes mystérieux et de documentation inexacte. En matière de reporting, d’archivage, d’alerte et de consolidation, nous sommes confrontés aux mêmes difficultés que depuis Windows NT Server. Et le penchant de Microsoft pour changer la signification de nombreux event ID d’une version à la suivante ne fait qu’aggraver la situation. Pourtant, si l’on possède les bons outils et si l’on sait ce que l’on recherche, le journal de Sécurité peut fournir beaucoup d’informations intéressantes.Dans cet article, le premier d’une série prévue sur le journal de Sécurité Windows 2003, je donne un aperçu général de la stratégie d’audit et du journal de Sécurité pour les débutants. Il y a aussi les fins limiers du journal de Sécurité. Je les invite à consulter le sous-titre « Nouveau dans Windows 2003 » pour chaque catégorie du journal de Sécurité ; ils prendront ainsi connaissance des principales modifications qu’apporte Windows 2003 en la matière. Windows divise tous les événements de sécurité en neuf catégories d’audit, comme l’illustre la figure 1 qui montre l’onglet Filter de la boîte de dialogue Security Properties de l’Event Viewer. Dans de futurs articles, j’examinerai les catégories du journal de Sécurité plus en détail et nous verrons comment tirer le maximum de cette importante ressource.

Dix moyens de gérer les postes de travail avec les Stratégies de groupe

Les stratégies de groupe, quand elles sont bien planifiées et mises en oeuvre, sont un outil précieux pour gérer les systèmes poste de travail Windows. Hélas, deux obstacles empêchent les administrateurs de bien les utiliser. Le premier est une compréhension limitée de ce que sont les stratégies de groupe et de la manière de les appliquer. Le second est de ne pas exactement savoir ce que l’on veut en faire. En effet, on se sent vite submergé par la multitude des paramètres et de leurs divers modes d’application.Pourtant, il n’est pas si difficile de bien comprendre les stratégies de groupe. Quand vous vous en serez imprégnés, il vous faudra tout simplement certaines idées pour les mettre en action. Préparons nous donc à aborder un cours de base des stratégies de groupe. Après quoi, nous verrons 10 moyens pour commencer à gérer les postes de travail de votre environnement.

Installer un PBX Voice-over-IP (VoIP)

Après avoir installé un PBX Voice-over-IP (VoIP) dans notre bureau, nous constatons des problèmes de qualité vocale lors des appels téléphoniques internes, et des incidents occasionnels sur le réseau téléphonique public. Les appels internes souffrent de clics et d’interruptions et les conférences téléphoniques sont très problématiques. Quelle en est la cause ?

Vous ne me donnez pas beaucoup d’informations. Donc vous allez devoir analyser plusieurs hypothèses pour trouver l’éventuel coupable.

Encore d’autres déclencheurs d’événements

Dans l’article « Tirer sur le déclencheur d’événements », mars 2005, je présentais les déclencheurs d’événements une fonction de Windows Server 2003, Windows XP et Windows 2000, qui permet de configurer l’OS afin qu’il exécute certains programmes quand certains ID d’événements se produisent. Ce mois-ci, bouclons notre discussion sur eventtriggers.exe en nous intéressant à d’autres options.

Les actualités de la semaine 49 – Windows IT Pro – 2006

Toutes les actualités du 04 au 10 Décembre 2006.

Construire un piège à  pirates Virtual PC

par Joe Kinsella. Mise en ligne :  22 novembre 2006, Parution Windows ITPro : mars 2005

Les pièges à pirates, sont de plus en plus utilisés pour détecter très tôt les intrus potentiels, identifier les failles des stratégies de sécurité, et améliorer la prise de conscience globale d’une entreprise en matière de sécurité. Les pièges à pirates peuvent simuler diverses unités internes et externes : serveurs Web, serveurs de e-mail, serveurs de bases de données, serveurs d’applications et même pare-feu. En tant que responsable de développement logiciel, j’utilise régulièrement des pièges à pirates pour mettre à jour les vulnérabilités à deux niveaux : le logiciel que mon équipe écrit et les OS dont nous dépendons.Mettre en place et gérer les pièges à pirates implique des considérations légales et une bonne connaissance des outils réseau et de l’autopsie d’ordinateur. Ma description de la manière de mettre en place et d’utiliser un piège à pirates suppose certaines notions des aspects légaux et éthiques de ce dispositif et une certaine expérience de l’autopsie d’un réseau et d’un ordinateur. J’utilise souvent Microsoft Virtual PC 2004 pour mes pièges à pirates. Bien que certains jugent VMware mieux équipé que Virtual PC, j’ai constaté que ce dernier offre un ensemble de fonctions pratiquement équivalent à un meilleur prix (129 dollars pour Virtual PC contre 199 dollars pour VMware).

OS/400 V5R2 et iSeries Access for Windows V5R2 (5722 XE1)

Voici une sélection de "Frequently Asked Question", FAQ

iSeries Access Family est inclus dans l’abonnement logiciel i5 et OS/400 et dans la maintenance du logiciel. Par conséquent, vous n’avez pas à acquérir de protection supplémentaire pour obtenir les nouvelles releases. Si vous avez un contrat de logiciel OS/400, vous pouvez commander gratuitement Feature Number 2647 de 5722"‘XW1.

RPG NEW STYLE : un socle pour les pratiques de coding modernes

La modernisation des applications est l’un des plus grands défis posés aux développeurs iSeries. L’hésitation qu’elle suscite est légitime car, avant toute modernisation, il faut avoir les idées claires sur ce qu’est une pratique de coding « moderne ». Au fur et à mesure que RPG change et acquiert de nouvelles fonctions et possibilités, les bonnes pratiques du passé pourraient bien être les mauvaises d’aujourd’hui (et de demain). A cause de l’évolution particulière du RPG, les standards et styles de coding généralement admis sont sérieusement remis en question et nous sommes confrontés à une abondance de choix : OPM RPG IV ou ILE RPG IV ? C-specs en format fixe ou en format libre ? Sousroutines, sous-procédures, ou les deux ? I/O natif, SQL, ou les deux ? Ecran vert, GUI, ou les deux ? Et quand faut-il choisir telle ou telle voie ?Pourtant, tout service informatique iSeries est confronté à ces questions et doit y répondre pour obtenir un style de coding homogène. Quand un langage change en profondeur, il faut réexaminer les standards et les recommandations, pour les adapter et pour les appliquer au langage modifié, en tenant compte des éventuelles nouvelles meilleures pratiques qu’entraînent de tels changements. Aussi, parce que les nouvelles fonctions coexistent avec d’anciennes conservées pour des raisons de rétrocompatibilité, il faut limiter le nombre d’options de coding. Il faut donc revoir les standards et les recommandations pour inciter les développeurs à tirer dans le même sens. A cette fin, cet article présente un style général de programmation RPG que je baptise « RPG New Style ».

Automatiser MBSA

Vous êtes un administrateur système chargé d’évaluer et de recueillir une grande variété de données de sécurité concernant les systèmes de votre réseau. Vous aimeriez bien scruter vos systèmes chaque fois qu’ils redémarrent puis présenter les résultats ainsi obtenus, sur un site Web où vous et vos collaborateurs pourriez les examiner (et, éventuellement, remédier aux vulnérabilités). Pour créer un programme de scanning automatisé du réseau, vous pouvez utiliser Microsoft Baseline Security Analyzer 1.2.1 conjointement à des exemples de scripts MBSA de Microsoft.
N’allez surtout pas compter sur le seul MBSA pour la sécurité de votre réseau : il n’est pas à la hauteur de cette responsabilité. Mais vous verrez qu’il est capable de quelques trucs étonnants et qu’il peut vous fournir des données très utiles pour sécuriser le réseau.Si vous voulez des informations plus élémentaires sur MBSA avant d’entreprendre ce projet, voyez l’encadré exclusif Web « MBSA Introduction » (www.itpro.fr Club abonnés)

Commençons par diviser notre projet en trois tâches :
1. Télécharger MBSA et l’installer sur chaque ordinateur cible manuellement ou par une méthode automatisée telle qu’un GPO (Group Policy Object) d’installation de logiciel. Télécharger des modèles de scripts MBSA.
2. Ecrire un script de démarrage qui exécute l’utilitaire ligne de commande MBSA (mbsacli. exe) à chaque redémarrage de l’ordinateur et qui sauvegarde les résultats du scanning dans un partage de réseau.
3. Exécuter une tâche planifiée quotidiennement qui utilise un modèle de script MBSA pour traiter les données sur le share du réseau et les transformer en rapports HTML visibles sur un serveur Web.

Chaque réseau étant différent, vous devrez adapter cet exemple à votre cas particulier. Ainsi, ces étapes supposent que les utilisateurs ne sont pas des administrateurs locaux et qu’ils ne peuvent donc pas exécuter les scripts sous leurs permissions utilisateur. Il en découle que la plus grande partie de l’installation et du scanning de MBSA se produit via les GPO AD (Active Directory) fonctionnant avec des privilèges élevés.