Windows 2000 et la sécurité

Windows 2000 et la sécurité

Beaucoup de nouvelles fonctions de Windows 2000 concernent la sécurité. A la vue des nouvelles fonctions comme Kerberos, Active Directory (AD) et le support intégré de l'infrastructure des clés publiques (PKI), on pourrait penser que Microsoft a remplacé la plus grande partie de l'architecture de la sécurité Windows NT. Mais, en fait, Microsoft a exploité beaucoup de fonctions de sécurité originales de NT. Malgré l'arrivée de Kerberos, AD et de la PKI, le coeur de la sécurité de Windows 2000 s'appuie sur l'infrastructure de NT 4.0. Microsoft a conçu l'architecture de sécurité de NT 4.0 avec l'évolutibilité à  l'esprit. C'est ainsi que l'on trouve des limites bien définies entre les modules et plusieurs API permettant d'ajouter des éléments de fonctionnalité (par exemple les services de chiffrement, d'authentification) sans affecter le reste du système d'exploitation.

Cet article présente l'architecture de la sécurité Windows 2000. Je commencerai par expliquer comment la sécurité de Windows 2000 a évolué depuis NT 4.0, les problèmes de NT 4.0 résolus par Windows 2000 et d'autres objectifs de conception contribuant à  l'ambition de Microsoft de faire de Windows 2000 le système d'exploitation pour l'e-commerce. J'examinerai ensuite chacun des composants de l'architecture et la place qu'il occupe dans ce tableau global.

Comment intégrer le DNS d’UNIX dans Windows 2000

DNS est un mécanisme standard de résolution de noms qu'un serveur IP utilise pour nommer, présenter et localiser les serveurs et services IP sur Internet ou dans un intranet. Pour intégrer plus complètement Windows 2000 à  Internet, Microsoft utilise DNS plutôt que WINS comme service natif de nommage de la nouvelle release. Microsoft a également mis en oeuvre le DNS dynamique DDNS pour permettre aux systèmes Windows 2000 d'enregistrer dynamiquement leurs noms et adresses IP dans un serveur DDNS. La mise à  jour dynamique des informations sur la machine élimine la tâche d'administration consistant à  maintenir une base de données statique dans un serveur DNS traditionnel. En outre, les contrôleurs de domaine Windows 2000 enregistrent dynamiquement des enregistrements des services de ressources (SRV RR pour Service Ressource Record) dans les serveurs DDNS. Dans un réseau Windows 2000, les clients recherchent les SRV RR dans le serveur DNS pour l'annuaire Active Directory (AD) du réseau et ses services, comme par exemple le service de connexion.

LA RFC 2052 de l'IETF (Internet Engineering Task Force) documente les SRV RR et la RFC 2136 documente les mises à  jour de DDNS. Les SRV RR et DDNS ne sont pas nouveaux dans la famille des standards DNS - la RFC 2052 a été publiée par l'IETF en octobre 96 et la RFC 2136 date d'avril 97. Cependant, le fait que Windows 2000 utilise ces fonctions, oblige les entreprises ayant des serveurs DNS sur leurs machines UNIX depuis longtemps à  mapper les noms de serveur et les adresses IP.
La plupart de ces entreprises n'ont pas encore évolué vers la dernière version de BIND 8.2.2 (Berkeley Internet Name Domain) de l'Internet Software Consortium ou une version récente de DNS émanant de leur fournisseurs d'UNIX et DNS. La majorité ne supporte donc pas à  la fois les SRV RR et les mises à  jour dynamiques. Si cette description correspond à  votre entreprise et si vous prévoyez un déploiement Windows 2000, vous allez être confrontés à  une question d'intégration : devez-vous migrer sur le DNS de Windows 2000 ou continuer à  utiliser votre DNS UNIX ? Vous Trois options s'offrent à  vous : migrer vers le DNS de Windows 2000, créer un environnement ou les deux DNS coexistent, ou n'utiliser que le DNS d'UNIX.

Devez-vous migrer sur le DNS de Windows 2000 ou continuer à  utiliser votre DNS UNIX ?

Avant de détailler les trois options, voyons comment Windows 2000 utilise les SRV RR pour mieux comprendre les avantages et inconvénients de chaque option et chasser toute confusion en ce qui concerne l'utilisation des caractères soulignés par les SRV RR. Comprendre les mises à  jour dynamiques de Windows 2000 et comment déterminer si votre serveur DNS UNIX les supporte peut également vous aider à  déterminer la meilleure option pour votre entreprise.

John Quarantello et l’avenir de Java

Même si les vastes possibilités Java de l'AS/400 sont encore en train d'évoluer, elles ont suscité plus d'intérêt et de discussions que toute autre nouvelle technologie en ce domaine, à  l'exception, peut-être de Lotus Domino. John Quarantello, “ AS/400 Java Segment Manager ” chez IBM, s'est récemment entretenu avec Kathy Blomstrom et Cheryl Ross, de NEWS/400, pour donner son point de vue sur l'avenir de Java sur AS/400. 

NAT conserve les adresses IP

Avec Network Address Translation (NAT), de nombreuses adresses IP privées peuvent n'en utiliser que quelques-unes publiques Techniquement parlant, Internet se compose d'une myriade de systèmes interconnectés par la suite de protocole TCP/IP. Beaucoup d'entre eux possèdent leur propre adresse IP. Cette adresse est le mécanisme central permettant à  un système d'entrer en contact avec un autre, relié à  Internet. Mais, il existe un nombre fini d'adresses Internet, et une autre myriade de systèmes attendent de se relier à  Internet. La pénurie chronique d'adresses IP est un problème critique, dont une entreprise doit bien prendre conscience lorsqu'elle est présente sur Internet, ou qu'elle envisage d'y accentuer sa présence. Heureusement, il existe plusieurs solutions, à  long et à  court terme.

NAT se présente sous deux formes: multi-adresses et mono-adresse
L'une d'elles, NAT (Network Address Translation), permet à  de multiples systèmes de partager une ou plusieurs adresses IP lors de l'accès à  Internet. NAT se présente sous deux formes. NAT multi-adresses effectue une traduction une à  une des adresses IP privées et publiques. NAT mono-adresse traduit lui aussi des adresses IP privées en publiques, mais en partageant une adresse IP unique entre plusieurs adresses IP privées.

Faciliter l’administration de Client Access avec les stratégies système

Comment définir des stratégies permettant de contrôler les fonctions de Client Access Express offertes aux utilisateurs Les utilisateurs posent un problème aux administrateurs de Client Access. Il arrive aux premiers, après avoir cliqué au mauvais endroit sur l'écran, ou modifié des paramètres importants, d'appeler l'administrateur que vous êtes pour rattraper leur étourderie.
Et vous vous êtes probablement résigné à  régler ces problèmes quand ils surviennent. Or, il existe précisément un outil limitant l'accès des utilisateurs aux fonctions de Client Access : les stratégies système de Client Access et de Windows. Les versions actuelles de Windows (95, 98 et NT/2000) supportent les stratégies système… gratuitement !
C'est inclus dans Windows et dans Client Access (depuis la V3R2M0). Voyons les types de fonctions système dont on peut limiter l'accès par des stratégies et comment préparer et administrer un exemple de stratégie dans Client Access Express.

Dis-moi qui tu es, je te dirais pourquoi migrer

Si les autres articles de ce supplément vous ont convaincu de l'intérêt de Windows 2000 pour votre entreprise, il vous faudra peut-être à  votre tour en convaincre vos collègues ou supérieurs. Cet article devrait vous être très utile dans cette tâche. Après avoir lu ce supplément particulièrement complet sur Windows 2000, vous serez (nous l'espérons) pleinement informés sur les caractéristiques de la nouvelle version de Windows NT et sur l'intérêt, bien réel, de faire migrer votre entreprise à  cette nouvelle version très prometteuse de Windows NT.

Cependant, si les lecteurs de Windows 2000 Magazine sont généralement les principaux prescripteurs dans le cadre des choix autour de Windows NT, ils sont rarement les seuls décideurs.
Peut-être devrez-vous donc expliquer le bien fondé d'une migration dont tous les analystes confirment qu'elle exige un réel investissement de l'entreprise. Compte tenu de la technicité élevée des articles et de la quantité d'informations contenues dans ces pages, ce supplément nécessite quelques pages plus vulgarisatrices.
Cet article résume donc l'essentiel de ce que vous devez savoir pour convaincre votre directeur financier, vos utilisateurs ou votre direction générale, selon le profil de votre entreprise et de l'interlocuteur.

Les options offertes aux utilisateurs mobiles

Windows 2000 Professionnel est sans contexte un grand progrès par rapport à  Windows NT 4.0 pour les utilisateurs d'ordinateurs portables. Mais, même si vous voyagez beaucoup, peut-être n'êtes-vous pas prêts à  investir dans un portable capable de supporter Windows 2000. Dans ce cas, cet article propose une alternative moins chère qui répondra peut-être à  vos besoins. Les ordinateurs portables n'ont jamais été la tasse de thé de Windows NT. Après tout, l'OS a été conçu par Microsoft pour monter en charge et faire fonctionner des serveurs. Windows NT est lent à  démarrer et, jusqu'à  la version 3.51 incluse, Windows NT ne présente pas la moindre trace d'une gestion de l'alimentation ou de support du plug & play. Microsoft a néanmoins ajouté quelques fonctions à  Windows NT 4.0 (tels que les profils matériels, un porte-document pour les fichiers à  synchroniser ou le support de PC Card) pour les utilisateurs d'ordinateurs portables. Malheureusement, Windows NT 4.0 est apparu après Windows 95 qui, lui, supportait le plug & play et comprenait une gestion intégrée de l'alimentation. Conséquence, la plupart des portables sortis après la disponibilité de Windows 95 ne supportaient tout bonnement pas Windows NT 4.0 ou n'étaient pas adaptés car conçus pour être utilisés avec Windows 95. Avec Windows 2000 Professionnel, la situation est bien différente puisque l'OS offre de nombreuses fonctions pour les ordinateurs portables et qu'il évite les écueils qui rendaient NT impropre aux portables.

Résoudre le casse-tête de la gestion des licences

Savez-vous combien de serveurs et d'applications sont supportés par votre service informatique ? Avez-vous des enregistrements précis des licences clients payées et surveillez-vous l'accès des clients à  vos logiciels ? Pourtant, vous ne pouvez ignorer que les violations du copyright des logiciels sont répréhensibles. Tout utilisateur qui réalise, acquiert ou utilise des copies non autorisées de logiciels, peut encourir une amende ou de la prison. L'attitude désinvolte d'un utilisateur vis-à -vis du partage des logiciels peut avoir des conséquences juridiques sérieuses pour votre entreprise. Le meilleur moyen de vous protéger est de veiller à  informer en permanence vos employés des risques associés aux copies non autorisées des logiciels. Vous devez créer et promouvoir une politique logicielle définissant des directives aux employés sur l'utilisation des logiciels en interne et sur l'Internet. La Software Publishers Association en propose un modèle sur son site Web à  l'adresse http://www.spa.org/piracy/empguide.htm.

UDB/400 en perspective

propos recueillis par Sharon Hoffman et Gary Guthrie Comment mettre vraiment en oeuvre les nouveaux types de données de DB2 Universal Database for AS/400 (UDB/400) et comment ces nouvelles fonctions améliorent-elles le positionnement de la base de données AS/400 sur un marché de plus en plus concurrentiel ? Pour le savoir, Gary Guthrie et Sharon Hoffman, rédacteurs techniques à  NEWS/400, ont interrogé directement les "gourous" des bases de données AS/400 d'IBM : Mark Anderson, senior technical staff member d'IBM Rochester et Kent Milligan, membre de l'équipe Business Intelligence de groupe AS/400 Partners in Development d'IBM Rochester.

Des utilitaires pour récupérer les fichiers effacés

Ne pas pouvoir récupérer des données, effacées par erreur, peut vous coûter votre place. Cet article étudie 4 produits qui permettent de résoudre un problème que tout utilisateur a un jour rencontré. Imaginez-vous, un vendredi après-midi en train de terminer à  toute vitesse un projet afin d'éviter les embouteillages pour rentrer chez vous. A mi-chemin de la sauvegarde d'un gros fichier, vous recevez un message d'erreur Disque plein. Vous supprimez frénétiquement des fichiers de votre disque dur et videz la corbeille pour faire de la place. Ouf, vous terminez la sauvegarde du fichier, vous éteignez votre système et vous vous précipitez vers la sortie.

Le lundi suivant, votre patron vous demande quand votre plan budgétaire sera terminé. Vous réalisez soudain que vous l'avez supprimé pendant votre assaut de panique du vendredi précédent.

Vous recherchez le fichier dans le système. Vous vérifiez inutilement la corbeille et vous vous imaginez avec un serrement de coeur la réaction de votre patron. Ah, si vous possédiez un moyen de récupérer les fichiers détruits accidentellement !

Ce mois-ci le labo évalue quatre produits qui font apparemment l'impossible, c'est-à -dire restaurer des fichiers détruits, même après avoir vidé l'ultime espoir de NT, la Corbeille. Aucun d'eux ne nécessite d'expertise de débogage hexadécimal ou autres connaissances spécialisées. Chacun adopte une approche différente pour restituer les fichiers.
Deux produits offrent des fonctions de restitution après coup et les deux autres plusieurs couches de protection de récupération, notamment une Corbeille modifiée. Deux de ces produits utilisent des assistants pour vous guider dans le processus de restitution, alors que les deux autres adoptent une approche dépouillée qui demande un peu d'habitude.
Trois produits permettent de restituer les fichiers avant l'installation du produit complet. Cette fonction est importante parce que lorsque vous supprimez un fichier d'une unité, les secteurs que le fichier utilisait contiennent encore des données.
Or le système considère cet espace comme libre et permet de réécrire dessus lors de l'installation du programme de récupération. A moins d'avoir une option de récupération d'urgence, vous risquez donc d'écraser les fichiers que vous essayez de restituer simplement en installant l'utilitaire de restitution.

Vous pouvez très bien ne jamais avoir besoin d'utilitaire de restitution, mais vous apprécierez leur existence en cas de besoin. Car comme dit l'adage " Il vaut mieux posséder quelque chose et ne pas en avoir besoin que d'avoir besoin de quelque chose et ne pas le posséder ".

Vous pouvez très bien ne jamais avoir besoin d'utilitaire de restitution, mais vous apprécierez leur existence en cas de besoin

Les canaux sécurisés de Windows NT 4.0

Les canaux sécurisés sont un élément important des relations d'approbation entre domaines NT 4.0. Ils doivent donc être gérés de façon efficace, ce qui est possible avec les outils fournis par Microsoft dans le Kit de ressources de Windows NT Server. Les administrateurs établissent des relations d'approbation entre domaines en donnant aux utilisateurs d'un domaine l'autorisation d'accéder aux ressources d'un autre sans qu'ils doivent se connecter au second. Les postes de travail NT établissent des canaux sécurisés localement avec les contrôleurs de domaine et les contrôleurs de domaine en font de même entre eux. Dans des canaux sécurisés, entre domaines, le contrôleur de domaine de chaque domaine approbateur (ressources) établit un canal sécurisé avec le contrôleur de domaine du domaine approuvé (maître). Les canaux sécurisés permettent aux contrôleurs de domaines de s'échanger des communications en toute confiance et de valider les requêtes des utilisateurs d'accéder aux ressources des domaines approbateurs.

Les canaux sécurisés entre les domaines maître et de ressources sont importants. Pour bien comprendre ce type de canaux sécurisés, vous devez connaître le processus de découverte des canaux sécurisés, l'édition du Registre permettant de sécuriser encore les canaux et les utilitaires d'administration de domaines permettant de surveiller et rétablir les canaux sécurisés.

Les canaux sécurisés permettent aux contrôleurs de domaines de s'échanger des communications en toute confiance

Les éditeurs d’ERP montrent la voie dans les nouvelles technologies

par Pam Jones 12 éditeurs d'ERP sont bien en avance sur le peloton des ISV lorsqu'il s'agit d'évoluer vers Java, le RPG IV et Domino NEWS/400 a récemment interrogé des éditeurs de logiciels indépendants (ISV : Independent Software Vendors) à  propos de leurs intentions de modernisation des applications, en envoyant 800 questionnaires à  des éditeurs de logiciels choisis au hasard. Nous avons saisi l'occasion pour inviter 13 éditeurs de progiciels de gestion intégrés (ERP : Enterprise Resource Planning) à  répondre aux mêmes questions, de manière nominative. Nous voulions étudier de plus près ces remuants acteurs du marché midrange, pour comparer leur activité à  celle de l'ensemble des ISV. Les 12 sociétés figurant dans la liste de la figure 1 ont fourni des informations détaillées sur leurs plans de développement présents et futurs.

            Nul ne sera surpris d'apprendre que les 12 éditeurs d'ERP appliquent davantage les stratégies de modernisation citées dans le questionnaire, et aussi qu'ils les appliquent plus vite (voir la figure 2). Mais leur degré d'avance est intéressant tant bien pour les utilisateurs AS/400 que pour les autres ISV suivant de près les tendances du marché AS/400.

            Les 12 éditeurs sont des leaders marché midrange : 75% d'entre eux comptent plus de 500 installations (la catégorie la plus élevée en termes de nombre de sites installés dans notre enquête), à  comparer à  16% seulement ayant autant d'installations dans notre échantillon plus vaste. Leur présence sur le marché leur confère une bonne connaissance des besoins des clients, et leurs ressources de R&D leur permettent d'y répondre à  l'aide de la meilleure technologie. Pour certaines technologies (comme Java) leur approche plus hardie peut convaincre les petits ISV et clients qu'ils s'engagent dans des eaux sûres, mais chaudes. 

EDI, Windows NT et Internet

L'échange de données informatisé, ou EDI, existe déjà  depuis des décennies. Il s'agit de transmettre et recevoir des documents entre ordinateurs sous une forme compréhensible par la machine. Les transactions EDI bénéficient d'une forte intégrité et sont extrêmement sécurisées, tout en offrant la possibilité de traiter de très grandes opérations par lots. Il s'agit souvent de transfert de données stratégiques entre entreprises. Ces dernières utilisent dans la plupart des cas des réseaux à  valeur ajoutée (RVA), mais l'avènement de Internet est en train de modifier rapidement le paysage.

Le pouvoir du filtrage de paquets

Sans une forme de firewall, le réseau d'une entreprise est grand ouvert à  quiconque se connecte au même réseau public. Le filtrage des paquets est une des méthodes les plus courantes pour construire un firewall. Cette technique permet de contrôler le mouvement des paquets IP selon leur contenu. Comme son nom l'indique, le filtrage de paquets filtre les paquets IP en fonction d'un ensemble de règles définies au niveau des routeurs ou de toute unité de capable de router des paquets, comme Windows NT Server. On peut définir des règles de filtrage de paquets pour un ensemble constitué d'adresses de serveur, de protocoles, d'applications, de directions de connexion et de types de messages. Les spécificités de la mise en oeuvre du filtrage dépendent de votre équipement et des fournisseurs. Pour comprendre le filtrage de paquets, il faut connaître les relations entre les couches de protocole TCP/IP. Il faut également comprendre comment le filtrage de paquet dépend des divers protocoles TCP/IP.

Arrêter un incident avant le désastre

Les plans de sauvegarde et de reprise après incident sont des sujets dont les sociétés bien élevées ne parlent généralement pas. Même lorsqu'un plan est prévu, le personnel technique n'aime pas l'évoquer… et encore moins le mettre en oeuvre. Après tout, conserver le réseau, les applications et les utilisateurs en état de marche est déjà  un travail à  temps plein. Se demander se qui se passerait s'il fallait mettre en oeuvre le plan de secours ne fait qu'ajouter au stress.Peu populaires, les sauvegardes et les restaurations sont pourtant importantes et toute société doit prévoir leur mise en oeuvre après un incident. Mettez donc de côté ce sentiment que " cela n'arrive qu'aux autres " (vous verrez, vous vous sentirez mieux après l'avoir fait) et faites en sorte que votre entreprise dispose d'un plan de redémarrage adapté à  ses besoins.

Le Top 10 des utilitaires graphiques du Kit de ressources

Le Kit de ressources de Windows NT Server 4.0 fournit plusieurs outils d'administration puissants que l'on ne peut trouver nulle part ailleurs. Dans cet article, je vous indique mes dix outils et utilitaires graphiques préférés du Kit de ressources.

Publier des applications sur une batterie de serveurs de terminaux

Citrix MetaFrame 1.8 est doté de la nouvelle fonction Voisinage programmes. Ce service très intéressant permet de publier des applications à  partir d'une batterie de serveurs. Un gain notable en matière d'administration des applications. Le Program Neighborhood ou Voisinage programmes, la fonction que nous allons évoquer, est réservée aux serveurs sous Windows NT Server 4.0 édition Terminal Server avec l'add-on MetaFrame 1.8 ou Citrix WinFrame 1.8. Pour en tirer le meilleur parti, il faut savoir ce que sont les batteries de serveurs et pourquoi les utilisateurs de MetaFrame devraient s'y intéresser. Il faut également apprendre à  configurer une batterie de serveurs, à  s'en servir pour publier des applications, à  gérer les serveurs qui la composent et à  faire parvenir les applications aux clients.Pour l'administrateur, une batterie de serveurs est un groupe de serveurs de terminaux que l'on peut gérer à  partir d'une seule console

Connecter des postes de travail Linux à  des serveurs Windows 2000 et NT

L'ajout de Linux dans un réseau basé sur Windows 2000 ou Windows NT peut s'avérer une bonne idée. Avec Linux, les entreprises disposent d'une solution bon marché pour mettre en oeuvre des services Internet de base (notamment des serveurs DNS, des serveurs de messagerie Internet ou des serveurs Web) sur des systèmes à faible coût.

Outre l'intérêt économique lié à sa gratuité, Linux offre des périodes de disponibilité et une fiabilité toutes deux excellentes, bien que ceci se paye par une complexité d'administration accrue. Pour une information complète sur les différences entre l'administration de Windows NT et de Linux, reportez-vous aux articles " NT versus Linux : les trois avantages de Linux " et " Linux : les mauvaises nouvelles " de nos deux derniers numéros.

Mais le fait d'ajouter un nouvel OS dans un réseau existant peut créer de nouveaux problèmes et des migraines pour résoudre les questions d'interopérabilité. Par exemple, on peut s'interroger sur les points suivants :

· Peut-on faire tourner des applications Win32 sur un système sous Linux ?

· Comment synchroniser les utilisateurs de Windows 2000 et NT avec ceux de Linux ?

· Comment transférer des données entre les serveurs Windows 2000 ou Windows NT et les postes de travail sous Linux ?

Dans cet article, nous allons détailler un outil qui répond à la troisième de ces questions. (Au cas où vous chercheriez les réponses aux autres questions, la première est oui : WINES, un utilitaire gratuit livré avec la plupart des versions de Linux qui permet de faire tourner les programmes Windows sous Linux. Pour la deuxième question, j'ai entendu dire qu'il existait des utilitaires de conversion d'annuaires entre NT et Linux, mais je n'en sais pas beaucoup plus.)

Une nouvelle nébuleuse

Omniterm et Interlynx : deux chevaux de bataille pour un seul nom, qui fédère les ex- IDEA, Andrew, Aranex et Decison Data... : NLynx. Créée en 1997, la société NLynx est encore jeune... mais a déjà  une très longue histoire. En réalité, Fred Klingensmith a co-fondé la structure initiale en 1976 : elle s'appelait alors “ KMW Systems ”. KMW a été côtée en bourse à  partir de 1983, et a été revendue à  Andrew Corporation, pour constituer la nouvelle Division “ Network Products ” de Andrew en 1989. En novembre 1997, cette Division, qui n'était pas exactement dans le métier de base de Andrew, a été externalisée via un “ management buyout ” (rachat par les cadres dirigeants des parts de la société). NLynx Systems était née.

En juillet 1998, NLynx a acheté les actifs d'un autre acteur de ce marché, qui n'était pas au mieux à  ce moment là  : IDEAssociates, et sa filiale Aranex Corporation, enrichissant ainsi la famille des produits NLynx de ceux de IDEA. NLynx compte beaucoup sur la croissance externe. C'est ainsi que plus récemment (début mai) elle a acquis les actifs des activités terminaux et contrôleurs de Decision Data. Et selon Pierre Hernicot, Director of European Operations, il faut s'attendre à  voir apparaître d'autres opérations du même type, qui seraient en cours de négociation, de part et d'autre de l'Atlantique.

Publier des applications sur le Web avec ICA

De nombreuses entreprises adoptent Windows NT Server 4.0, Terminal Server Edition et Citrix Metaframe pour déployer leurs applications Windows vers leurs utilisateurs. Avec les solutions centrées sur le serveur, les entreprises ont découvert qu'elles pouvaient déployer des applications actuelles complètes vers pratiquement tous les clients de leur réseau - tout en consommant une bande passante raisonnable pour cela.
En fait, certaines sociétés préfèrent permettre à  leurs employés et clients d'accéder à  leurs applications de coeur de métier en utilisant une connexion Internet existante. L'architecture ICA de Citrix permet cela. ICA est un standard permettant de fournir des applications d'entreprise à  une grande variété de plates-formes clientes et de réseaux. Avec ICA, le serveur distingue la logique de l'application de l'interface utilisateur et n'envoie que l'interface de l'application au client. L'application tourne entièrement sur le serveur.
Les applications déployées avec ICA consomment jusqu'à  10 fois moins de bande passante que ce qu'elles réclament normalement - entre 10 et 20 Ko par session utilisateur environ.Mettre des applications publiées à  disposition des bonnes personnes sans pour autant ouvrir des brèches béantes dans votre réseau est une tâche essentielle et stratégique. Pour cela, vous devez comprendre comment offrir les applications à  des clients légers Windows NT à  travers un firewall, mais vous devez également savoir comment préserver un haut niveau de sécurité.
En tant qu'ingénieur réseau, je suis nerveux dès que l'on me parle d'ouvrir quelque port que ce soit d'un firewall. Pour préserver la sécurité de votre réseau, il faut savoir comment fonctionne ICA, comment fournir des sessions ICA aux clients à  travers différents types de firewalls, et comment configurer votre firewall et les paramètres ICA pour minimiser le danger.