Les fonctions de sécurité de IE 7.0
Quand vous lirez ces lignes, il est probable que Microsoft aura présenté une version bêta publique de IE (Internet Explorer) 7.0, son prochain navigateur Web. Il offre de nombreuses améliorations par rapport aux versions IE 6.x actuelles, comme une interface de navigation à onglets, une meilleure gestion des plug-ins du navigateur et une meilleure prise en charge des standards Web.Mais, cette fois, la grande nouveauté concerne la sécurité : IE 7.0 s’appuie sur la version plus sûre de IE que Microsoft a livrée avec Windows XP Service Pack 2 (SP2) l’année dernière. Voici ce qu’il faut savoir sur les fonctions de sécurité de IE 7.0.
Lire l'article
WS-SECURITY : rôle et fonctionnement
Au début des services Web, leurs fournisseurs considéraient que la sécurité serait entièrement gérée au niveau de la couche transport, au moyen de SSL/TLS (HTTPS). C’est pourquoi les standards de services Web initiaux n’abordaient pas la sécurité. Mais celle-ci a pris de l’importance dès lors que les services Web se sont multipliés. Une transaction de service Web passe souvent par de nombreuses mains, dont chacune a besoin d’accéder à certaines parties de la transaction mais pas à d’autres.En 2002, IBM, Microsoft et VeriSign ont proposé un standard de sécurité pour répondre à ces besoins. Appelé WS-Security, la spécification résultante est vaste et compliquée parce qu’elle couvre un large éventail d’aspects de sécurité des services Web. En 2004, apparaissait la version 1.1 du standard, plus dépouillée et plus puissante que le premier jet, mais encore volumineuse.
Heureusement, vous pouvez utiliser le standard dans vos applications de services Web sans le comprendre entièrement. WebSphere Application Server (WAS) 5.0 et ultérieure supportent WS-Security et se chargent virtuellement de tout l’aspect configuration. D’autres environnements de développement de services Web ont des fonctionnalités comparables. Une fois que vous aurez compris ce qu’apporte WS-Security et comment il fonctionne, vous pourrez commencer votre propre expérience.
AccessEnum
La prolifération des logiciels malveillants et la popularité des systèmes Windows Terminal Services à utilisateurs partagés, rend la sécurité Windows plus importante que jamais. Mais le modèle de sécurité Windows, avec ses DACL (discretionary ACL) souples est parfois difficile à gérer. En effet, Windows ne possède aucun outil intégré permettant de déterminer rapidement à quels fichiers, répertoires et sous-clés de registres les utilisateurs particuliers peuvent accéder.Et il n’est pas non plus facile de savoir si les utilisateurs ont des accès non autorisés à des répertoires sensibles ou à des sous-clés de registres profondément enfouies dans le système. Et c’est là qu’intervient AccessEnum de Sysinternals. Cet outil gratuit scrute un volume, un sous-répertoire ou une clé de registre spécifié pour déceler les maillons faibles potentiels dans vos paramètres de sécurité.
Lire l'article
10 étapes pour verrouiller les postes de travail
A contre-courant de l’opinion dominante, je pense que Windows est l’un des OS les plus sûrs aujourd’hui. Ses fonctions de sécurité sont du domaine du rêve pour les autres OS. Par exemple, quel autre OS vous offre les outils de management permettant de contrôler toute l’activité d’un utilisateur final ? Quel autre OS a un outil comme les stratégies de groupe, permettant d’activer et de désactiver des services sur l’ensemble des PC par quelques clics de souris ?Quel autre OS a 14 permissions de sécurité que l’on peut configurer pour chaque fichier et dossier ? Il est vrai qu’il manque à Windows une meilleure sécurité par défaut. Nous allons voir comment tirer parti du potentiel de Windows en matière de gestion de la sécurité et comment verrouiller les postes de travail. Si vous suivez mon conseil, vos ordinateurs seront parmi les postes de travail Windows les plus sûrs et les prédateurs électroniques renonceront à votre entreprise pour traquer des victimes plus vulnérables.
Lire l'article
Comprendre les éléments de sécurité reconnus, 1ere partie
Si vous n’avez pas utilisé les éléments de sécurité reconnus Windows, vous n’avez peut-être pas conscience de leur puissance et de leur complexité. Comme Microsoft en a ajouté de nouveaux à Windows Server 2003, il est bon de commencer à utiliser ce moyen pour administrer les paramètres de contrôle d’accès.Mais, avant d’entrer dans le détail de leur administration, j’aimerais passer en revue brièvement les éléments de sécurité en général et les éléments de sécurité reconnus particulièrement. La deuxième partie de cet article appronfondira l’administration de ces entités complexes.
Un élément de sécurité Windows est une entité authentifiée qui utilise les ressources (fichiers, imprimantes, etc.), les applications ou services qu’un ordinateur Windows héberge. Un élément de sécurité peut être un utilisateur, un ordinateur ou un groupe d’utilisateurs ou d’ordinateurs. Chaque élément de sécurité a un identificateur unique appelé SID.
Les éléments de sécurité reconnus sont une catégorie spéciale des éléments de sécurité. Ils représentent les entités spéciales que le sous-système de sécurité Windows prédéfinit et contrôle. Parmi quelques exemples, on retiendra Everyone, Authenticated Users, System, Self et Creator Owner.
Contrairement aux éléments de sécurité classiques, il n’est pas possible de renommer ou de supprimer les éléments de sécurité reconnus. Vous ne pouvez pas non plus créer les vôtres : ce sont les mêmes sur chaque système Windows, bien que la liste des éléments de sécurité reconnus disponibles varie légèrement selon la version de l’OS. Un élément de sécurité reconnu a également le même SID sur chaque système Windows. Par exemple, SID S-1-5- 10 représente toujours le élément de sécurité bien connu Self et SID S-1-3-0 représente toujours le principal Creator Owner.
10 outils d’évaluation de la sécurité du réseau à posséder absolument !
Les professionnels qui veulent évaluer la sécurité de leur réseau disposent de nombreux outils - littéralement, des milliers à la fois commerciaux et open-source. La difficulté est d’avoir le bon outil pour le bon travail, au bon moment, et de pouvoir lui faire confiance. Pour réduire l’éventail du choix, je décris mes dix outils gratuits favoris pour l’évaluation de la sécurité du réseau.L’évaluation de la sécurité du réseau passe par quatre phases fondamentales : reconnaissance, énumération, évaluation et exploitation. La phase de reconnaissance concerne la détection des appareils du réseau par un scanning en direct via ICMP (Internet Control Message Protocol) ou TCP. Pendant les phases d’énumération et d’évaluation, l’évaluateur de sécurité détermine si un service ou une application tourne sur un hôte particulier et analyse ses éventuelles faiblesses. Dans la phase d’exploitation, l’évaluateur utilise une ou plusieurs vulnérabilités pour obtenir un certain niveau d’accès privilégié à l’hôte et utilise cet accès pour mieux exploiter l’hôte ou pour élever le privilège sur l’hôte ou le réseau, ou le domaine.
Lire l'article
Sécuriser votre réseau sans fil
Des sociétés de toutes tailles utilisent aujourd’hui des réseaux sans fil. Dans les petites et moyennes entreprises (PME), leur faible coût et leur facilité de déploiement peuvent les rendre préférables aux réseaux câblés. Pour les grandes entreprises, les réseaux sans fil ont plusieurs usages : réunion d’employés munis de portables dans des salles, des halls d’hôtels, et même des cafétérias, connectés aux réseaux.Les mérites des réseaux sans fil induisent un fort besoin de sécurité. Des réseaux sans fil non protégés offrent aux pirates et à ceux qui veulent simplement se connecter gratuitement à Internet, un libre accès à votre intranet. Il n’est pas rare de voir des réseaux sans fil sauvages dans de grandes entreprises.
En effet, les groupes de travail ou les utilisateurs finaux ignorent parfois le règlement intérieur et installent des points d’accès (AP, Access Points) pour répondre à un besoin ponctuel. Mais, ce faisant, ils font courir un grand risque à tous Songez à cela : des adeptes du spam et du phishing particulièrement astucieux savent maintenant utiliser des réseaux sans fil non sécurisés pour envoyer des messages de courriel en masse. Ils circulent dans les zones urbaines et dans les quartiers d’affaires, à la recherche de réseaux sans fil vulnérables.
Quand ils en trouvent un, ils configurent leurs systèmes mobiles pour s’y connecter, obtenir une location DHCP avec une adresse IP valide, DNS, et une information de passerelle par défaut ; puis pour envoyer leurs messages. Si vous avez déjà utilisé un outil tel que NetStumbler ou les outils de gestion sans fil intégrés que l’on trouve sur la plupart des portables et des PDA, vous avez sûrement rencontré des réseaux sans fil non sécurisés dans votre voisinage, autour de votre bureau, voire dans votre propre entreprise.
Les propriétaires de réseaux non sécurisés courent de nombreux risques : perte de bande passante sur leur connexion Internet, infection virale, voire une responsabilité pénale ou civile si leurs réseaux sans fil non sécurisés servent à lancer des attaques contre autrui.
Voyons quelques étapes pratiques permettant de sécuriser vos réseaux sans fil, les méthodes d’automatisation du déploiement des paramètres de configuration, et les outils permettant de repérer la présence de réseaux sans fil non sécurisés et non autorisés.
Cachez bien vos secrets
Le cryptage, ou chiffrement, est une science fascinante qui mêle les mathématiques, l’intrigue et, de nos jours, l’informatique. Bien que le cryptage consiste à rendre l’information secrète, il n’y a rien de secret dans le processus de cryptage. En fait, plus un algorithme de cryptage est soumis à l’examen public, plus il est jugé sûr. Si le cryptage est exécuté correctement, la seule chose à garder secrète est la clé de cryptage.Permettez-moi donc de vous présenter cette technique et de montrer l’importante différence qui existe entre le cryptage par clé symétrique et le cryptage par clé publique/privée. Nous conclurons par une brève discussion sur les protocoles de cryptage courants en usage aujourd’hui et comment les diverses composantes Windows utilisent le cryptage.
Lire l'article
Sécuriser votre base de données avec le point de sortie Open Database File
Établir, appliquer et maintenir une politique de sécurité de la base de données, voilà qui devrait figurer tout en haut de votre liste de priorités. L’i5 offre de nombreuses fonctions de sécurité et de préservation des données. Je présente ici le point de sortie Open Database File et explique comment il permet de combler des lacunes potentielles du système de sécurité de la base de données i5.
Lire l'article
Mettre en place WSUS
La gestion des correctifs est un casse-tête pour les administrateurs de sécurité de la plupart des entreprises. En la matière, les petites entreprises s’en remettent souvent aux mises à jour automatiques en provenance des sites Web des fournisseurs, comme Windows Update. Les moyennes entreprises utilisent généralement des solutions de gestion des correctifs comme SUS (Software Update Services). Les grands comptes, eux, ont recours à des outils sophistiqués comme Microsoft SMS (Systems Management Server) 2003.Consciente des déficiences de SUS, comme l’étroitesse des produits qu’il permet de mettre à jour, Microsoft a développé et amélioré un produit de gestion des correctifs appelé WSUS (Windows Systems Management Server). WSUS bénéficie aux entreprises de toutes tailles, grâce à sa souplesse, ses fonctions avancées et sa facilité de déploiement. Nous allons donc voir ensemble comment installer et configurer WSUS pour votre entreprise, obtenir les mises à jour, et configurer les clients pour que WSUS leur procure les mises à jour.
Lire l'article
Les outils de mise à jour selon Microsoft
La mise en place, ou plus exactement le déploiement automatisé des patchs de sécurité des environnements Windows est un sujet d’actualité pour les administrateurs. Avec l’arrivée en fanfare de WSUS, la question est encore plus d’actualité et de nombreux responsables informatiques se posent la question du déploiement ou non de cette solution proposée par Microsoft, d’au tant plus que plusieurs outils Microsoft permettent le déploiement des patchs de sécurité au sein de la famille Windows.La mise en place, ou plus exactement le déploiement automatisé des patchs de sécurité des environnements Windows est un sujet d’actualité pour les administrateurs. Avec l’arrivée en fanfare de WSUS, la question est encore plus d’actualité et de nombreux responsables informatiques se posent la question du déploiement ou non de cette solution proposée par Microsoft, d’au tant plus que plusieurs outils Microsoft permettent le déploiement des patchs de sécurité au sein de la famille Windows.
Lire l'article
Automatiser MBSA
Vous êtes un administrateur système chargé d’évaluer et de recueillir une grande variété de données de sécurité concernant les systèmes de votre réseau. Vous aimeriez bien scruter vos systèmes chaque fois qu’ils redémarrent puis présenter les résultats ainsi obtenus, sur un site Web où vous et vos collaborateurs pourriez les examiner (et, éventuellement, remédier aux vulnérabilités). Pour créer un programme de scanning automatisé du réseau, vous pouvez utiliser Microsoft Baseline Security Analyzer 1.2.1 conjointement à des exemples de scripts MBSA de Microsoft.
N’allez surtout pas compter sur le seul MBSA pour la sécurité de votre réseau : il n’est pas à la hauteur de cette responsabilité. Mais vous verrez qu’il est capable de quelques trucs étonnants et qu’il peut vous fournir des données très utiles pour sécuriser le réseau.Si vous voulez des informations plus élémentaires sur MBSA avant d’entreprendre ce projet, voyez l’encadré exclusif Web « MBSA Introduction » (www.itpro.fr Club abonnés)
Commençons par diviser notre projet en trois tâches :
1. Télécharger MBSA et l’installer sur chaque ordinateur cible manuellement ou par une méthode automatisée telle qu’un GPO (Group Policy Object) d’installation de logiciel. Télécharger des modèles de scripts MBSA.
2. Ecrire un script de démarrage qui exécute l’utilitaire ligne de commande MBSA (mbsacli. exe) à chaque redémarrage de l’ordinateur et qui sauvegarde les résultats du scanning dans un partage de réseau.
3. Exécuter une tâche planifiée quotidiennement qui utilise un modèle de script MBSA pour traiter les données sur le share du réseau et les transformer en rapports HTML visibles sur un serveur Web.
Chaque réseau étant différent, vous devrez adapter cet exemple à votre cas particulier. Ainsi, ces étapes supposent que les utilisateurs ne sont pas des administrateurs locaux et qu’ils ne peuvent donc pas exécuter les scripts sous leurs permissions utilisateur. Il en découle que la plus grande partie de l’installation et du scanning de MBSA se produit via les GPO AD (Active Directory) fonctionnant avec des privilèges élevés.
MIIS, la gestion des identités par Microsoft
De nos jours, les utilisateurs des systèmes d’information d’entreprise – comme les administrateurs – doivent jongler entre plusieurs identités (ou comptes utilisateur) afin d’accéder aux différentes ressources, que ce soient la messagerie, les partages (de fichiers ou d’imprimantes) ou encore les PGI. Du côté des administrateurs, la difficulté est de maintenir l’ensemble de ces bases utilisateurs hétérogènes à jour et de rendre les accès aussi « invisibles » que possible aux utilisateurs.
Pour répondre à cette problématique, Microsoft propose, depuis environ 4 ans, MIIS (Microsoft Identity Integration Server), serveur d’intégration des identités. Cette solution est disponible en 2 versions, dont une gratuite. Microsoft Identity Integration Server est le successeur de Microsoft MetaDirectory Services 2.xx.
Interface d’ajout d’utilisateur – USERADD
Lors de l’embauche d’une nouvelle personne dans une société, la première chose demandée au service informatique est la création d’un compte de domaine. Cette tâche bien que très simple, possède un impact important sur la sécurité. Voici comment se déroule à peu près le processus de création de compte. Une demande contenant les noms des personnes est soumise au service informatique par les ressources humaines ou bien par un chef de service.
Suivant la procédure, le compte est créé en respectant les règles de nommage (longueur du compte de connexion, format,…), de mot de passe par défaut (aléatoire la plupart du temps, longueur, complexité) et de droit en général (en utilisant les groupes de domaines). Cette partie ne pose en général pas de problème et peut être automatisée.
Gros plan sur le SCW
Le SCW (Security Configuration Wizard) est le dernier membre de la famille des outils de configuration de sécurité de Microsoft. Il est inclus dans Windows Server 2003 Service Pack 1 (SP1), dont la diffusion est prévue dans la première moitié de 2005. SCW guide les administrateurs dans leur travail de configuration, de modification, d’application, et de rappel des stratégies de sécurité sur les serveurs Windows 2003 SP1.Plus particulièrement, il durcit les serveurs chargés de rôles particuliers, comme Microsoft IIS et Microsoft Exchange Server. Voyons donc quelle est la place de SCW parmi les autres outils de configuration de sécurité de Microsoft et pourquoi vous pourriez l’adopter.
Lire l'article
Quelques conseils pour resserrer la sécurité des comptes utilisateur
Windows essuie beaucoup de critiques sur son manque de sécurité. Pourtant, en réalité, la plate-forme Windows possède tous les ingrédients d’un système d’exploitation sûr. Qu’on en juge : puissantes fonctions de gestion des utilisateurs et des groupes, mécanismes de contrôle d’accès détaillés, séparation des droits très poussée, et de robustes moyens d’authentification et de cryptage. Mais il ne suffit pas de posséder tous ces moyens : pour optimiser la sécurité système, les administrateurs et les applications doivent utiliser réellement les fonctions.L’accès utilisateur constitue l’un des problèmes les plus courants. L’authentification de l’utilisateur est à la base du mécanisme de sécurité de Windows. Ainsi, si un intrus découvre un mot de passe Administrator et se connecte en se faisant passer pour cet utilisateur, il s’appropriera l’accès administratif de la machine. De plus, si un utilisateur peut déplacer son compte dans le groupe Administrators, il pourra alors accéder à toutes les machines auxquelles le groupe a droit. Par conséquent, la sécurisation de Windows passe en grande partie par celle des comptes utilisateur. Voici les mesures à prendre pour cela.
Lire l'article
Encore d’autres déclencheurs d’événements
Dans l’article « Tirer sur le déclencheur d’événements », mars 2005, je présentais les déclencheurs d’événements une fonction de Windows Server 2003, Windows XP et Windows 2000, qui permet de configurer l’OS afin qu’il exécute certains programmes quand certains ID d’événements se produisent. Ce mois-ci, bouclons notre discussion sur eventtriggers.exe en nous intéressant à d’autres options.
Lire l'article
Tirer sur le déclencheur d’évènements
Les journaux d’événements sont d’excellents outils pour suivre à la trace la marche de votre système. Mais ils ont un point faible : il faut les consulter pour savoir si quelque chose d’important s’est produit. Presque tous les administrateurs Windows que je connais ont, un jour ou un autre, passé des heures à tirer au clair un étrange comportement du système pour, finalement, penser à consulter les journaux d’événements, … et y trouver la réponse. Mais supposez que certains genres d’événements soient tellement importants que vous vouliez pouvoir les traiter sans être obligés de consulter les journaux d’événements. Si seulement vous pouviez configurer le système de telle sorte qu’il réagisse immédiatement à certains événements !C’est tout à fait possible avec un déclencheur d’événement. Un tel dispositif dit en substance à votre système : « Quand cet événement se produit, exécuter ce programme ». Supposons que vous soyez sur la piste d’un pirate et que vous vouliez être informés de chaque défaillance de logon. Vous pourriez créer un déclencheur d’événement pour utiliser Net Send chargé de vous délivrer un message pop-up ou pour utiliser un programme comme Blat pour vous envoyer un message e-mail à partir d’une ligne de commande. Mais comment créer un déclencheur d’événement ? En utilisant eventtriggers.exe, qui est incluse dans Windows Server 2003 et Windows XP.
Lire l'article
Mettez votre journal à distance au régime
Dans l’article « Journal à distance », (iSeries News, mars 2006), je traitais de l’utilisation du journal à distance dans le cas d’une machine de production, où l’on veux employer un mécanisme de transport capable d’envoyer les entrées du journal, en temps réel, à un emplacement éloigné (distant) qui héberge une réplique des éléments de base de données les plus critiques : fichiers stream d’octets, zones de données et files d’attente de données.Voyons maintenant comment façonner un tel environnement de telle sorte que chaque gramme d’énergie investi dans votre couche de transport à distance soit utilisé au mieux. En quelque sorte, nous essayons de fabriquer du muscle et de perdre du gras.
Pour qu’un tel transport soit efficace, vous pouvez instaurer quelques étapes de personnalisation pour réduire le gras qui, sans cela, emprunterait le tuyau de communication entre la source et la machine cible. Chaque étape contribuera à produire un flux de journal plus maigre et plus concentré.
Quand de bons scripts dérapent
Vous venez de passer des heures à écrire un script chargé de supprimer automatiquement les anciens comptes utilisateur inactifs dans l’AD (Active Directory). Bien que vous soyez débutant en code VBScript, la suppression manuelle des anciens comptes d’AD chaque mois était une telle corvée que vous vous êtes résolu à écrire ce script. Plein d’espoir, vous l’exécutez sur votre réseau de test… pour le voir s’arrêter prématurément. Pas croyable ! Où est l’anomalie ? Les raisons sont multiples. Cependant, le principe de Pareto (c’est-à-dire, la règle des 80/20) veut que la plus grande partie des erreurs de script (80 % environ) provient d’un petit nombre de causes possibles (20 % environ).Plusieurs experts en scripting ont récemment parlé des erreurs courantes qu’ils trouvent quand ils examinent le code VBScript sur le terrain. D’après ces experts et à en croire divers articles, les erreurs de syntaxe VBScript les plus courantes (c’est-à-dire, celles qui surviennent quand le code transgresse les règles grammaticales du langage VBScript) et les erreurs à l’exécution (c’est-à-dire, les erreurs qui se produisent quand un script tente d’effectuer une action que le système ne peut pas exécuter) surviennent quand les auteurs de scripts utilisent des variables, des instructions de traitement d’erreurs, des guillemets et des caractères spéciaux et réservés.
Lire l'articleLes plus consultés sur iTPro.fr
- Le changement, moteur d’engagement au travail
- Cloud 2026 : 5 tendances à anticiper pour les PME françaises
- Les DSI français face au défi de l’IA : ambitions élevées, marges de manœuvre limitées
- Connectivité et impression sans contrainte : repenser la gestion documentaire en 2026
À la une de la chaîne Tech
- Alliée ou menace ? Comment l’IA redessine le paysage cyber
- CES 2026 : l’IA physique et la robotique redéfinissent le futur
- Les 3 prédictions 2026 pour Java
- Semi-conducteurs : comment l’Irlande veut contribuer à atténuer la pénurie mondiale de puces
- Face à l’urgence écologique, l’IT doit faire sa révolution
