Cinq étapes pour sécuriser ACTIVE DIRECTORY

par Robbie Allen. Mise en ligne : 25 Mars 2007; Publication Windows ITPro Magazine : Juin 2005

Active Directory (AD) détient les fameuses clés du royaume pour de nombreuses entreprises. Et une mauvaise sécurisation d’AD peut mettre ce royaume en péril. Certes, il n’est pas facile de sécuriser AD mais, en suivant quelques étapes de base, on peut sécuriser raisonnablement l’infrastructure d’AD. J’ai bien dit étapes de base. En effet, la sécurité est un compromis et on peut toujours prendre des mesures qui accroissent la sécurité, mais elles ont leur prix : en coût ou en perte de souplesse ou de fonctionnalité. Nous allons voir cinq étapes qu’il ne coûte pas très cher d’appliquer, mais qui peuvent contribuer efficacement à la sécurisation de l’infrastructure d’AD globale.

Interface d’ajout d’utilisateur – USERADD

Lors de l’embauche d’une nouvelle personne dans une société, la première chose demandée au service informatique est la création d’un compte de domaine. Cette tâche bien que très simple, possède un impact important sur la sécurité. Voici comment se déroule à peu près le processus de création de compte. Une demande contenant les noms des personnes est soumise au service informatique par les ressources humaines ou bien par un chef de service.

Suivant la procédure, le compte est créé en respectant les règles de nommage (longueur du compte de connexion, format,…), de mot de passe par défaut (aléatoire la plupart du temps, longueur, complexité) et de droit en général (en utilisant les groupes de domaines). Cette partie ne pose en général pas de problème et peut être automatisée.

Les actualités de la semaine 03 – Windows IT Pro – Janvier 2007

Toutes les actualités du 15 au 21 Janvier 2007.

- Supervisez vos infrastructures de bout en bout, Microsoft System Center Operations Manager 2007
- Séminaire Archivage électronique !
- Programme Better by Design

iSeries Access for Web

Je suis en train de préparer iSeries Access for Web pour mes utilisateurs et je m’interroge sur l’onglet Files.

Si je clique sur le lien appelé Browse Files, chaque fichier de l’iSeries apparaît. Je crains que des utilisateurs entrent dans certains de ces répertoires et y suppriment des informations. Devrais-je occulter cet onglet ?

Imprimer dans CGI

Comme son nom l’indique, un navigateur Web est chargé de naviguer sur le Web et d’afficher les données sous forme graphique. Bien que l’on puisse imprimer des pages Web en utilisant le bouton Imprimer du navigateur, les fonctions d’impression (comme les en-têtes de pages pour chaque page imprimée) ne peuvent pas être homogènes sur l’ensemble des navigateurs parce que chaque navigateur et client peut avoir des imprimantes et des paramètres très différents : marges, pieds de pages, en-têtes, et autres. De plus, la taille de chaque page Web est variable selon le type d’entrée et de données. Par conséquent, si vous êtes amenés à imprimer la sortie d’un navigateur Web, il vaut mieux recourir à un rapport traditionnel créé par un job batch.Pour qu’un navigateur Web affiche la sortie imprimée, il faut d’abord convertir le fichier spool en format PDF. Il existe un outil permettant cette conversion, à www-92.ibm.com/en. On peut aussi utiliser à cet effet les outils CGIDEV2 ou MMAIL.

MMAIL facilite l’envoi électronique et la conversion des fichiers spool, des fichiers MIME, des fichiers stream (fichiers IFS), des fichiers save, et des membres de fichiers source. Elle possède aussi une commande (CVTSTMFPDF) pour convertir un fichier spool en PDF, HTML ou texte. Si vous envisagez d’imprimer à partir du navigateur client, vous devez convertir le fichier en format PDF.

Le répertoire de destination sur l’IFS doit être accessible à partir d’un navigateur Web. La configuration par défaut de l’outil CGIDEV2 permet au navigateur Web d’accéder au répertoire CGIDEV. Pour plus d’efficacité, je suggère de créer un sous-dossier dans le dossier CGIDEV ou un dossier IFS séparé, pour stocker les fichiers PDF. Utilisez la commande CHGAUT pour accorder l’autorité au dossier créé. *PUBLIC a besoin de l’autorité *RX. QTMHHTP1 et QTMHHTTP ont besoin de l’autorité *RWX et des autorités de données *OBJMGT, *OBJEXIST, *OBJALTER et *OBJREF.

Microsoft Operations Manager

Après l’annonce de MOM (Microsoft Operations Manager) 2005 en mars 2003, Tim Huckaby a écrit que l’objectif de Microsoft concernant MOM « est de contribuer à faire de Windows la plate-forme la mieux gérée fournissant le coût de possession total (TCO) le plus bas pour ses clients d’entreprise ».Maintenant que MOM 2005 est là, cette citation est intéressante, surtout pour ses derniers mots : « pour ses clients d’entreprise ». Avec MOM 2005, Microsoft a également introduit MOM 2005 Workgroup Edition pour de petits environnements, considérant que les PME avaient elles aussi besoin de gestion d’événements, de supervision et d’alertes proactives et de connaissance du système et des applications, pour réduire les coûts et améliorer la disponibilité.

L’enquête de ce mois à propos de MOM montre que les PME sont très intéressées par la gestion de l’exploitation. Pourtant, sur 538 répondants, 9 % seulement utilisent actuellement MOM. Les raisons les plus fréquemment citées pour sa non-utilisation sont la licence et le coût, et la taille de l’organisation. Beaucoup ont posé des questions du genre « Peut-on utiliser MOM sur Microsoft SBS (Small Business Server) ? et « Comment se fait-il que les sociétés trop grosses pour SBS mais trop petites pour la classe entreprise sont ignorées par les outils d’administration ?
J’ai transmis vos questions et les résultats de l’enquête à Michael Emanuel, directeur de product management, Windows and Enterprise Management chez Microsoft, pour l’inviter à répondre à vos préoccupations. En me fondant sur l’intérêt souligné par l’enquête et sur notre conversation, je concentre cette colonne sur deux soucis principaux : licence et coût, et considérations sur les PME.

Testez Office Communications Server 2007

Office Communications Server 2007 permet d’optimiser et de simplifier l’usage des différents outils de communication (téléphone, messagerie instantanée, conférence, partage de document…).

Les utilisateurs peuvent ainsi communiquer avec la personne de leur choix, au moment où ils le souhaitent, à partir des applications Microsoft Office familières. Gérer efficacement Office Communication Server 2007 avec  l’infrastructure Microsoft Exchange et Active Directory existante.

Déboguage et optimisation logiciel pour Vista

Intel Corporation a annoncé aujourd'hui la sortie de nouvelles versions de ses outils de génie logiciel Intel Thread Checker, Intel Thread Profiler, Intel VTune Performance Analyzer et Intel Threading Building Blocks, qui permettent d'élaborer des applications plus fiables et plus évolutives.

Ces versions actualisées ont été optimisées pour les dernières-nées des puces multicoeurs d'Intel.

Relation d’approbation ou non?

par Randy Franklin Smith. Mise en ligne : 21 mars 2007; Publication Windows ITPro Magazine : Juin 2005

Les relations d’approbation constituent un moyen efficace d’arrêter et de valider SSO (single sign-on) sur des forêts d’AD (Active Directory), des domaines Windows NT et AD, et même des royaumes Kerberos non-Windows. Mais l’approbation a son prix. Dans une forêt comportant des domaines d’approbation, des administrateurs malveillants peuvent causer des dégâts sur une plus grande échelle et les DC (domain controllers), qui sont physiquement vulnérables, exposent toute la forêt. Examinons donc les fondamentaux des relations d’approbation et pointons-en les risques potentiels. J’expliquerai ensuite comment atténuer ces risques en présence des différents types de relations d’approbations qui existent aujourd’hui dans Windows Server 2003 et Windows 2000.

News System i – Semaine 6 – Février 2007

Les actualités de la semaine du 05 au 11 Février 2007.

- RoadShow Common France : Vision de la virtualisation des systèmes d’information

ILM met les données à  leur place

Le centre informatique du Wake Forest University Baptist Medical Center n’est pas très différent de ceux d’autres grandes institutions. Il héberge un assortiment de mainframes et de serveurs qui offrent des services tels que le courrier électronique et la gestion des dossiers des patients, aux utilisateurs des différents secteurs. En 2000, le centre médical – dirigé par Bob Massengill, responsable des services techniques – a mis en place un réseau de type SAN (storage area network) pour stocker les données générées par le centre. Le passage au SAN a eu des conséquences spectaculaires.Lors de sa première mise en oeuvre, le SAN contenait « 2 téra-octets de stockage », déclare Massengill. « Un an plus tard, on en était à 18 téra-octets. Et aujourd’hui, nous sommes entre 60 et 70 téra-octets ». Cette explosion du volume de données dans le SAN a conduit Massengill à explorer un nouveau mode de gestion du stockage du centre médical : la gestion du cycle de vie de l’information (ILM, Information Lifecycle Management). Selon Massengill « ILM a les bonnes données, dans le bon format, sur la bonne plate-forme de stockage, au moment opportun. »

SafeWord SecureWire 50

Secure Computing Corporation, spécialiste de la sécurisation des connexions entre les hommes, les applications et les réseaux, annonce la disponibilité de son appliance de gestion des identités et des accès (IAM) SafeWord SecureWire 50.

SafeWord SecureWire 50, est une plate-forme de sécurisation des accès distants, d'authentification et de conformité destinée aux petites et moyennes entreprises.

La montée du système 64-Bit

Il n’y a pas si longtemps, on n’associait les processeurs 64-bit qu’aux systèmes très haut de gamme. Le coût exorbitant et les applications limitées des CPU 64-bit les cantonnaient à une poignée de scénarios où elles donnaient toute leur mesure. Dès lors que la plate-forme 64-bit a pu bénéficier de la mémoire au-delà de la barrière de 4 Go imposée par l’architecture 32-bit, on s’est intéressé aux applications de bases de données à grande échelle et aux applications de rendu graphique, qui toutes nécessitent d’énormes moyens en mémoire et en débit de données.Nulle part les choses ne changent aussi vite que dans le monde de la technologie. Avec l’introduction des nouveaux processeurs 64-bit par AMD et Intel, ainsi que les nouvelles versions 64-bit de Windows de Microsoft – tout cela combiné avec l’adoption rapide de la nouvelle architecture 64-bit par des fabricants de PC aussi prestigieux que Dell, HP et IBM – il se pourrait que vous mettiez en oeuvre des systèmes 64-bit en tant que serveurs et même systèmes desktop, avant la fin de l’année. Pour percevoir comment de tels systèmes haut de gamme pourraient s’intégrer dans votre entreprise, jetons un coup d’oeil aux différences entre les processeurs 64-bit proposés aujourd’hui et analysons leurs principales fonctions et caractéristiques.

IFS et iSeries Search

8 conseils WDSC pour les développeurs RPG !

Quoi de neuf sur iSeries ? Au programme, IFS ou encore iSeries Search, pour gagner du temps dans l'environnement System i et optimiser ses démarches.

Boîte à  outils System iNews : Période de rétention i5/OS /Problème de débit transactionnel i5 / Windows 2003 Server

Période de rétention i5/OS
Problème de débit transactionnel i5 / Windows 2003 Server

Windows 2003 Security log !

Dans Windows Server 2003, le Security event log (journal d’événements touchant à la sécurité) a plus d’informations que jamais auparavant. Mais il reste sombre et est plein d’event ID et de codes mystérieux et de documentation inexacte. En matière de reporting, d’archivage, d’alerte et de consolidation, nous sommes confrontés aux mêmes difficultés que depuis Windows NT Server. Et le penchant de Microsoft pour changer la signification de nombreux event ID d’une version à la suivante ne fait qu’aggraver la situation. Pourtant, si l’on possède les bons outils et si l’on sait ce que l’on recherche, le journal de Sécurité peut fournir beaucoup d’informations intéressantes.Dans cet article, le premier d’une série prévue sur le journal de Sécurité Windows 2003, je donne un aperçu général de la stratégie d’audit et du journal de Sécurité pour les débutants. Il y a aussi les fins limiers du journal de Sécurité. Je les invite à consulter le sous-titre « Nouveau dans Windows 2003 » pour chaque catégorie du journal de Sécurité ; ils prendront ainsi connaissance des principales modifications qu’apporte Windows 2003 en la matière. Windows divise tous les événements de sécurité en neuf catégories d’audit, comme l’illustre la figure 1 qui montre l’onglet Filter de la boîte de dialogue Security Properties de l’Event Viewer. Dans de futurs articles, j’examinerai les catégories du journal de Sécurité plus en détail et nous verrons comment tirer le maximum de cette importante ressource.

Dix moyens de gérer les postes de travail avec les Stratégies de groupe

Les stratégies de groupe, quand elles sont bien planifiées et mises en oeuvre, sont un outil précieux pour gérer les systèmes poste de travail Windows. Hélas, deux obstacles empêchent les administrateurs de bien les utiliser. Le premier est une compréhension limitée de ce que sont les stratégies de groupe et de la manière de les appliquer. Le second est de ne pas exactement savoir ce que l’on veut en faire. En effet, on se sent vite submergé par la multitude des paramètres et de leurs divers modes d’application.Pourtant, il n’est pas si difficile de bien comprendre les stratégies de groupe. Quand vous vous en serez imprégnés, il vous faudra tout simplement certaines idées pour les mettre en action. Préparons nous donc à aborder un cours de base des stratégies de groupe. Après quoi, nous verrons 10 moyens pour commencer à gérer les postes de travail de votre environnement.

Installer un PBX Voice-over-IP (VoIP)

Après avoir installé un PBX Voice-over-IP (VoIP) dans notre bureau, nous constatons des problèmes de qualité vocale lors des appels téléphoniques internes, et des incidents occasionnels sur le réseau téléphonique public. Les appels internes souffrent de clics et d’interruptions et les conférences téléphoniques sont très problématiques. Quelle en est la cause ?

Vous ne me donnez pas beaucoup d’informations. Donc vous allez devoir analyser plusieurs hypothèses pour trouver l’éventuel coupable.

Encore d’autres déclencheurs d’événements

Dans l’article « Tirer sur le déclencheur d’événements », mars 2005, je présentais les déclencheurs d’événements une fonction de Windows Server 2003, Windows XP et Windows 2000, qui permet de configurer l’OS afin qu’il exécute certains programmes quand certains ID d’événements se produisent. Ce mois-ci, bouclons notre discussion sur eventtriggers.exe en nous intéressant à d’autres options.

Les actualités de la semaine 49 – Windows IT Pro – 2006

Toutes les actualités du 04 au 10 Décembre 2006.