SSIS et la sécurité
Comme toutes les autres fonctionnalités présentes dans SQL Server 2005 Integration Services (SSIS), les nouveautés du produit touchant à la sécurité diffèrent sensiblement de leurs homologues dans DTS. SSIS continue d’employer des mots de passe et crypte les données sensibles, mais l’approche a profondément changé et se traduit par une simplification de l’exécution, de la protection, de la planification et de la modification des lots automatisés.Les fonctionnalités de sécurité de SSIS se répartissent en cinq catégories fonctionnelles : le cryptage, pour la sécurité des lots ou de parties d’entre eux ; la protection des données sensibles, pour l’identification et la protection des mots de passe et autres données critiques ; les rôles SQL Server, pour le contrôle de l’accès aux lots stockés dans SQL Server ; la signature numérique du code, pour garantir qu’un lot n’a pas changé ; et, enfin, l’intégration des sous-systèmes de l’Agent SQL Server, pour le stockage et l’exécution sécurisée des lots. Le présent article examine en détail ces nouvelles fonctionnalités de sécurité et propose des conseils sur les modalités et les circonstances de leur mise en oeuvre. A cette occasion, j’aimerais remercier tout spécialement Sergei Ivanov, le développeur de l’équipe Integration Services qui a écrit ces fonctionnalités, pour ses réponses à toutes mes questions et pour s’être assuré que je comprenais parfaitement les moindres détails.
Lire l'article
Techniques pour permettre l’accès aux applications
Aujourd’hui, il n’est plus question de configurer les objets application avec des autorités publiques permettant au premier utilisateur venu de voir ou de mettre à jour tous les fichiers de données. Remerciez-en les lois et règlements qui s’appliquent aux configurations de données, visant à refuser l’accès par défaut.Désormais, tous les objets application doivent être configurés de telle sorte que les fichiers ne puissent être ni mis à jour ni vus hors des interfaces applicatives approuvées. Sur i5/OS, cela se fait en excluant (par *EXCLUDE) l’autorité *PUBLIC sur nos objets fichiers de données. Mais, direz-vous, si l’autorité publique est réglée sur *EXCLUDE, comment l’utilisateur peut-il obtenir l’autorité suffisante pour accéder et mettre à jour, les fichiers de données pendant qu’il utilise l’application ? Cet article décrit les techniques qui fournissent l’autorité pendant l’exécution de l’application, sans l’accorder en permanence.
Lire l'article
Audit par utilisateur
L’audit Windows est tellement complet qu’il peut être une arme à double tranchant : les messages non critiques (ou parasites) submergent souvent les messages vraiment dignes d’attention. On ne saurait critiquer Microsoft pour le plupart des parasites d’audit. Le standard d’évaluation de sécurité Common Criteria, très réputé, exige des OS qu’ils soient capables d’auditer toute action constatée, et les administrateurs pousseraient les hauts cris si le journal d’audit ratait un seul événement qu’ils jugent important.Nul besoin, néanmoins, de capturer tous les événements. Vous pouvez réduire les parasites en réglant finement la structure d’audit pour les besoins particuliers de votre environnement. Le nouvel auditing par utilisateur de Windows peut vous aider dans cette tâche.
Lire l'article
Fonctionnalités de sécurité liées à la PKI Windows
Les services de sécurité avancés de la PKI ont longtemps été freinés par la crainte qu’un tel système soit lourd à gérer. Aujourd’hui les améliorations sur la gestion de ces services sont nombreuses, par exemple la PKI Microsoft s’interface aisément à l’Active Directory pour diffuser les certificats aux ordinateurs et utilisateurs. En outre, les solutions bâties sur les cartes à puce apportent une réponse industrielle et facilitent l’utilisation de la solution par les utilisateurs.Disponible par défaut avec Windows 2000 ou 2003 Server, les services PKI apportent de nombreuses fonctionnalités supplémentaires :
• Cryptage de fichiers avec le système EFS sous Windows XP
• Services d’authentification forte (SmartCard logon, WireLess…)
• Mise en place de réseau privé virtuel (VPN)
• Sécurisation des échanges avec IPSEC
• Messagerie sécurisée avec signature et cryptage S/MIME
• Signatures numériques (applications, macros, utilisateurs…)
Conseils pour sécuriser les portables
Il est fort probable que les portables de votre entreprise contiennent des informations sensibles que vous ne pouvez pas vous permettre de perdre. Trop souvent pourtant, les pros des technologies de l’information ne ferment la porte de l’écurie qu’après que le cheval se soit échappé. Vous devez donc prendre les mesures nécessaires pour protéger les portables et l’information qu’ils contiennent avant de la perdre. Voici les 10 étapes les plus importantes de sécurisation des portables.
Lire l'article
Les Microsoft TechDays 2008 : « c’est votre évènement »
Pour la première fois, parmi les 16 thèmes abordés, est prévu un parcours dénommé « Innovation Feuille de Route 2015 ». Il traitera uniquement de l’état de la recherche au sein de Microsoft, via le laboratoire MS Research, et abordera tous les sujets dans ce domaine à l’horizon de 5 à 10 ans. Pour concrétiser […]
Lire l'article
Quand le moindre … peut le plus
Ici, un administrateur surfant sur le Web télécharge par mégarde du code malveillant. Là, un développeur Windows écrit du code qui, pour fonctionner correctement, exige des privilèges Administrator. Ces pratiques dangereuses ont en commun de transgresser l’un des concepts les plus fondamentaux de la sécurité : le principe du moindre privilège. Il stipule qu’il faut donner à un utilisateur ou à un fragment de code, uniquement les privilèges dont il a besoin pour faire un certain travail. Rien de moins, et surtout rien de plus.Un code malveillant peut faire beaucoup plus de ravages quand il évolue dans le contexte de sécurité d’un compte hautement privilégié, et les processus hautement privilégiés, une fois compromis, ont une plus grande capacité de nuisance.
Le moindre privilège a été pendant longtemps un principe prôné et respecté dans le monde UNIX, mais Microsoft n’a commencé à le prendre au sérieux qu’avec Windows XP et Windows 2000. Le support du LUA (Least-Privileged User Account) est un thème de sécurité majeur de Microsoft Vista (précédemment Longhorn) mais, pour l’instant, XP et Win2K offrent plusieurs outils permettant d’honorer le moindre privilège.
Utilisez-les pour exécuter les processus et applications Windows à partir d’un compte LUA ou non-administrateur. Et, surtout, mettez la sécurité au premier plan.
Quand de bons scripts dérapent
Vous venez de passer des heures à écrire un script chargé de supprimer automatiquement les anciens comptes utilisateur inactifs dans l’AD (Active Directory). Bien que vous soyez débutant en code VBScript, la suppression manuelle des anciens comptes d’AD chaque mois était une telle corvée que vous vous êtes résolu à écrire ce script. Plein d’espoir, vous l’exécutez sur votre réseau de test… pour le voir s’arrêter prématurément. Pas croyable ! Où est l’anomalie ? Les raisons sont multiples. Cependant, le principe de Pareto (c’est-à-dire, la règle des 80/20) veut que la plus grande partie des erreurs de script (80 % environ) provient d’un petit nombre de causes possibles (20 % environ).Plusieurs experts en scripting ont récemment parlé des erreurs courantes qu’ils trouvent quand ils examinent le code VBScript sur le terrain. D’après ces experts et à en croire divers articles, les erreurs de syntaxe VBScript les plus courantes (c’est-à-dire, celles qui surviennent quand le code transgresse les règles grammaticales du langage VBScript) et les erreurs à l’exécution (c’est-à-dire, les erreurs qui se produisent quand un script tente d’effectuer une action que le système ne peut pas exécuter) surviennent quand les auteurs de scripts utilisent des variables, des instructions de traitement d’erreurs, des guillemets et des caractères spéciaux et réservés.
Lire l'article
Mettre en place WSUS
La gestion des correctifs est un casse-tête pour les administrateurs de sécurité de la plupart des entreprises. En la matière, les petites entreprises s’en remettent souvent aux mises à jour automatiques en provenance des sites Web des fournisseurs, comme Windows Update. Les moyennes entreprises utilisent généralement des solutions de gestion des correctifs comme SUS (Software Update Services). Les grands comptes, eux, ont recours à des outils sophistiqués comme Microsoft SMS (Systems Management Server) 2003.Consciente des déficiences de SUS, comme l’étroitesse des produits qu’il permet de mettre à jour, Microsoft a développé et amélioré un produit de gestion des correctifs appelé WSUS (Windows Systems Management Server). WSUS bénéficie aux entreprises de toutes tailles, grâce à sa souplesse, ses fonctions avancées et sa facilité de déploiement. Nous allons donc voir ensemble comment installer et configurer WSUS pour votre entreprise, obtenir les mises à jour, et configurer les clients pour que WSUS leur procure les mises à jour.
Lire l'article
Les outils de mise à jour selon Microsoft
La mise en place, ou plus exactement le déploiement automatisé des patchs de sécurité des environnements Windows est un sujet d’actualité pour les administrateurs. Avec l’arrivée en fanfare de WSUS, la question est encore plus d’actualité et de nombreux responsables informatiques se posent la question du déploiement ou non de cette solution proposée par Microsoft, d’au tant plus que plusieurs outils Microsoft permettent le déploiement des patchs de sécurité au sein de la famille Windows.La mise en place, ou plus exactement le déploiement automatisé des patchs de sécurité des environnements Windows est un sujet d’actualité pour les administrateurs. Avec l’arrivée en fanfare de WSUS, la question est encore plus d’actualité et de nombreux responsables informatiques se posent la question du déploiement ou non de cette solution proposée par Microsoft, d’au tant plus que plusieurs outils Microsoft permettent le déploiement des patchs de sécurité au sein de la famille Windows.
Lire l'article
Automatiser MBSA
Vous êtes un administrateur système chargé d’évaluer et de recueillir une grande variété de données de sécurité concernant les systèmes de votre réseau. Vous aimeriez bien scruter vos systèmes chaque fois qu’ils redémarrent puis présenter les résultats ainsi obtenus, sur un site Web où vous et vos collaborateurs pourriez les examiner (et, éventuellement, remédier aux vulnérabilités). Pour créer un programme de scanning automatisé du réseau, vous pouvez utiliser Microsoft Baseline Security Analyzer 1.2.1 conjointement à des exemples de scripts MBSA de Microsoft.
N’allez surtout pas compter sur le seul MBSA pour la sécurité de votre réseau : il n’est pas à la hauteur de cette responsabilité. Mais vous verrez qu’il est capable de quelques trucs étonnants et qu’il peut vous fournir des données très utiles pour sécuriser le réseau.Si vous voulez des informations plus élémentaires sur MBSA avant d’entreprendre ce projet, voyez l’encadré exclusif Web « MBSA Introduction » (www.itpro.fr Club abonnés)
Commençons par diviser notre projet en trois tâches :
1. Télécharger MBSA et l’installer sur chaque ordinateur cible manuellement ou par une méthode automatisée telle qu’un GPO (Group Policy Object) d’installation de logiciel. Télécharger des modèles de scripts MBSA.
2. Ecrire un script de démarrage qui exécute l’utilitaire ligne de commande MBSA (mbsacli. exe) à chaque redémarrage de l’ordinateur et qui sauvegarde les résultats du scanning dans un partage de réseau.
3. Exécuter une tâche planifiée quotidiennement qui utilise un modèle de script MBSA pour traiter les données sur le share du réseau et les transformer en rapports HTML visibles sur un serveur Web.
Chaque réseau étant différent, vous devrez adapter cet exemple à votre cas particulier. Ainsi, ces étapes supposent que les utilisateurs ne sont pas des administrateurs locaux et qu’ils ne peuvent donc pas exécuter les scripts sous leurs permissions utilisateur. Il en découle que la plus grande partie de l’installation et du scanning de MBSA se produit via les GPO AD (Active Directory) fonctionnant avec des privilèges élevés.
MIIS, la gestion des identités par Microsoft
De nos jours, les utilisateurs des systèmes d’information d’entreprise – comme les administrateurs – doivent jongler entre plusieurs identités (ou comptes utilisateur) afin d’accéder aux différentes ressources, que ce soient la messagerie, les partages (de fichiers ou d’imprimantes) ou encore les PGI. Du côté des administrateurs, la difficulté est de maintenir l’ensemble de ces bases utilisateurs hétérogènes à jour et de rendre les accès aussi « invisibles » que possible aux utilisateurs.
Pour répondre à cette problématique, Microsoft propose, depuis environ 4 ans, MIIS (Microsoft Identity Integration Server), serveur d’intégration des identités. Cette solution est disponible en 2 versions, dont une gratuite. Microsoft Identity Integration Server est le successeur de Microsoft MetaDirectory Services 2.xx.
Interface d’ajout d’utilisateur – USERADD
Lors de l’embauche d’une nouvelle personne dans une société, la première chose demandée au service informatique est la création d’un compte de domaine. Cette tâche bien que très simple, possède un impact important sur la sécurité. Voici comment se déroule à peu près le processus de création de compte. Une demande contenant les noms des personnes est soumise au service informatique par les ressources humaines ou bien par un chef de service.
Suivant la procédure, le compte est créé en respectant les règles de nommage (longueur du compte de connexion, format,…), de mot de passe par défaut (aléatoire la plupart du temps, longueur, complexité) et de droit en général (en utilisant les groupes de domaines). Cette partie ne pose en général pas de problème et peut être automatisée.
Gros plan sur le SCW
Le SCW (Security Configuration Wizard) est le dernier membre de la famille des outils de configuration de sécurité de Microsoft. Il est inclus dans Windows Server 2003 Service Pack 1 (SP1), dont la diffusion est prévue dans la première moitié de 2005. SCW guide les administrateurs dans leur travail de configuration, de modification, d’application, et de rappel des stratégies de sécurité sur les serveurs Windows 2003 SP1.Plus particulièrement, il durcit les serveurs chargés de rôles particuliers, comme Microsoft IIS et Microsoft Exchange Server. Voyons donc quelle est la place de SCW parmi les autres outils de configuration de sécurité de Microsoft et pourquoi vous pourriez l’adopter.
Lire l'article
Quelques conseils pour resserrer la sécurité des comptes utilisateur
Windows essuie beaucoup de critiques sur son manque de sécurité. Pourtant, en réalité, la plate-forme Windows possède tous les ingrédients d’un système d’exploitation sûr. Qu’on en juge : puissantes fonctions de gestion des utilisateurs et des groupes, mécanismes de contrôle d’accès détaillés, séparation des droits très poussée, et de robustes moyens d’authentification et de cryptage. Mais il ne suffit pas de posséder tous ces moyens : pour optimiser la sécurité système, les administrateurs et les applications doivent utiliser réellement les fonctions.L’accès utilisateur constitue l’un des problèmes les plus courants. L’authentification de l’utilisateur est à la base du mécanisme de sécurité de Windows. Ainsi, si un intrus découvre un mot de passe Administrator et se connecte en se faisant passer pour cet utilisateur, il s’appropriera l’accès administratif de la machine. De plus, si un utilisateur peut déplacer son compte dans le groupe Administrators, il pourra alors accéder à toutes les machines auxquelles le groupe a droit. Par conséquent, la sécurisation de Windows passe en grande partie par celle des comptes utilisateur. Voici les mesures à prendre pour cela.
Lire l'article
Encore d’autres déclencheurs d’événements
Dans l’article « Tirer sur le déclencheur d’événements », mars 2005, je présentais les déclencheurs d’événements une fonction de Windows Server 2003, Windows XP et Windows 2000, qui permet de configurer l’OS afin qu’il exécute certains programmes quand certains ID d’événements se produisent. Ce mois-ci, bouclons notre discussion sur eventtriggers.exe en nous intéressant à d’autres options.
Lire l'article
Tirer sur le déclencheur d’évènements
Les journaux d’événements sont d’excellents outils pour suivre à la trace la marche de votre système. Mais ils ont un point faible : il faut les consulter pour savoir si quelque chose d’important s’est produit. Presque tous les administrateurs Windows que je connais ont, un jour ou un autre, passé des heures à tirer au clair un étrange comportement du système pour, finalement, penser à consulter les journaux d’événements, … et y trouver la réponse. Mais supposez que certains genres d’événements soient tellement importants que vous vouliez pouvoir les traiter sans être obligés de consulter les journaux d’événements. Si seulement vous pouviez configurer le système de telle sorte qu’il réagisse immédiatement à certains événements !C’est tout à fait possible avec un déclencheur d’événement. Un tel dispositif dit en substance à votre système : « Quand cet événement se produit, exécuter ce programme ». Supposons que vous soyez sur la piste d’un pirate et que vous vouliez être informés de chaque défaillance de logon. Vous pourriez créer un déclencheur d’événement pour utiliser Net Send chargé de vous délivrer un message pop-up ou pour utiliser un programme comme Blat pour vous envoyer un message e-mail à partir d’une ligne de commande. Mais comment créer un déclencheur d’événement ? En utilisant eventtriggers.exe, qui est incluse dans Windows Server 2003 et Windows XP.
Lire l'article
Mettez votre journal à distance au régime
Dans l’article « Journal à distance », (iSeries News, mars 2006), je traitais de l’utilisation du journal à distance dans le cas d’une machine de production, où l’on veux employer un mécanisme de transport capable d’envoyer les entrées du journal, en temps réel, à un emplacement éloigné (distant) qui héberge une réplique des éléments de base de données les plus critiques : fichiers stream d’octets, zones de données et files d’attente de données.Voyons maintenant comment façonner un tel environnement de telle sorte que chaque gramme d’énergie investi dans votre couche de transport à distance soit utilisé au mieux. En quelque sorte, nous essayons de fabriquer du muscle et de perdre du gras.
Pour qu’un tel transport soit efficace, vous pouvez instaurer quelques étapes de personnalisation pour réduire le gras qui, sans cela, emprunterait le tuyau de communication entre la source et la machine cible. Chaque étape contribuera à produire un flux de journal plus maigre et plus concentré.
La perfection par la pratique
La réussite dans les affaires, dépend directement de la disponibilité des systèmes informatiques. Et l’objectif commun des entreprises d’aujourd’hui est de ne subir aucun temps d’immobilisation. Les sinistres peuvent frapper à tout moment, n’importe où. On ne parle pas forcément d’une catastrophe majeure, du genre inondation ou tremblement de terre. N’importe quel incident ou sinistre peut faire perdre beaucoup d’argent à toute entreprise. Pour réduire le risque, il faut en premier lieu disposer d’un solide plan de reprise après sinistre (DRP, disaster recovery plan). Un DRP est un ensemble de processus développé pour votre société, qui décrit les actions que l’équipe informatique doit mener pour reprendre rapidement l’exploitation après une importante interruption du service. En dressant la liste des activités à suivre, votre entreprise peut réduire les pertes causées par l’immobilisation. Mais une fois que l’on a développé et mis en oeuvre un DRP, le travail ne fait que commencer : il faut le tester – pas juste une fois, mais régulièrement – pour refléter la dynamique de vos environnements informatiques.
Lire l'article
Sauvegarde : quelques scénarios catastrophe
Les récits que vous allez lire sont véridiques. Pour ne froisser personne, les noms ont été changés.
Voila plusieurs années, une société appelée Keypro Computer a connu une défaillance catastrophique du disque dur, la veille d’une déclaration fiscale importante. La seule copie des données nécessaires à la déclaration se trouvait sur ce disque dur et celui-ci n’était pas sauvegardé. L’excuse de Keypro ? « Nous avons oublié ». Le coût de récupération des données à partir des copies papier ? 400 000 dollars.Sur Internet, les récits de catastrophes liées à la sauvegarde (ou plutôt à son absence) abondent. Certains sont sûrement de pures inventions. Mais beaucoup sont authentiques, particulièrement lorsque le narrateur donne des informations négatives pour lui ou pour ses propres intérêts. En tant que professionnels IT, nous ne pouvons pas nous permettre « d’oublier ». A la clé il y a des amendes, voire la prison.
Pour vous éviter d’être la proie de ces lacunes de sauvegardes courantes, j’ai classé les délits de sauvegarde les plus courants et j’ai créé une étude « de cas » composite pour chacun d’eux. Aujourd’hui, ce ne sont pas des actes délictueux, mais ils pourraient bien le devenir bientôt. Lisez-les et veillez à ce qu’aucun d’entre eux ne devienne votre propre mésaventure !
Les plus consultés sur iTPro.fr
- E-mail : les tendances qui vont s’affirmer en 2026
- L’identité au cœur de la cybersécurité
- Données : une souveraineté obscurcie par le cloud ?
- Une menace à 1 milliard d’euros : le gouffre de la fraude e-commerce en France
- Cybersécurité : ce que 2026 réserve aux entreprises et comment en tirer avantage
