Audit par utilisateur
L’audit Windows est tellement complet qu’il peut être une arme à double tranchant : les messages non critiques (ou parasites) submergent souvent les messages vraiment dignes d’attention. On ne saurait critiquer Microsoft pour le plupart des parasites d’audit. Le standard d’évaluation de sécurité Common Criteria, très réputé, exige des OS qu’ils soient capables d’auditer toute action constatée, et les administrateurs pousseraient les hauts cris si le journal d’audit ratait un seul événement qu’ils jugent important.Nul besoin, néanmoins, de capturer tous les événements. Vous pouvez réduire les parasites en réglant finement la structure d’audit pour les besoins particuliers de votre environnement. Le nouvel auditing par utilisateur de Windows peut vous aider dans cette tâche.
Lire l'article
10 étapes pour verrouiller les postes de travail
A contre-courant de l’opinion dominante, je pense que Windows est l’un des OS les plus sûrs aujourd’hui. Ses fonctions de sécurité sont du domaine du rêve pour les autres OS. Par exemple, quel autre OS vous offre les outils de management permettant de contrôler toute l’activité d’un utilisateur final ? Quel autre OS a un outil comme les stratégies de groupe, permettant d’activer et de désactiver des services sur l’ensemble des PC par quelques clics de souris ?Quel autre OS a 14 permissions de sécurité que l’on peut configurer pour chaque fichier et dossier ? Il est vrai qu’il manque à Windows une meilleure sécurité par défaut. Nous allons voir comment tirer parti du potentiel de Windows en matière de gestion de la sécurité et comment verrouiller les postes de travail. Si vous suivez mon conseil, vos ordinateurs seront parmi les postes de travail Windows les plus sûrs et les prédateurs électroniques renonceront à votre entreprise pour traquer des victimes plus vulnérables.
Lire l'article
SINGLE SIGN-ON: Finis les mots de passe SYSTEM i
Si seulement vous n’aviez plus jamais à vous connecter à votre System i ! Imaginez la satisfaction de vos utilisateurs finaux cliquant sur l’icône System i et obtenant immédiatement leur menu d’applications principal. Imaginez encore : Aucune invite de la part du serveur sign-on (la petite boîte GUI qui vous demande votre ID et mot de passe utilisateur) et pas d’invite 5250 Telnet redemandant ce que vous venez juste de taper dans la boîte GUI du serveur sign-on.En voilà assez de devoir cliquer sur l’icône System i et de nous connecter à la boîte du serveur sign-on, puis de recommencer le sign-on pour chaque session Telnet sur écran passif. Pourquoi en est-il ainsi ? Nous pensons que c’est stupide et nos utilisateurs finaux pensent que c’est ridicule. Tout le monde a raison : c’est à la fois stupide et ridicule.
Combien d’argent et de ressources économiserions-nous si personne ne devait plus appeler le help desk ou l’administrateur système pour redéfinir un mot de passe i5/OS ou réactiver un profil utilisateur. Une enquête du Gartner Group estime que le coût moyen d’un appel pour redéfinir un mot de passe est d’environ 31 dollars. Si 300 utilisateurs font un tel appel une fois par an, une simple multiplication nous donne un coût d’environ 9 300 dollars. Mais nous en connaissons qui appellent beaucoup plus souvent ! Alors débarrassons-nous simplement des mots de passe i5/OS de nos utilisateurs finaux. Ils ne risquent pas d’oublier un mot de passe qu’ils n’ont pas. Elémentaire, non ?
Quand j’entends parler du SSO (single sign-on) d’entreprise, j’entrevois aussitôt un paradis où les utilisateurs n’ont qu’un ID et un mot de passe (ou un autre mécanisme d’authentification du genre biométrie). Cette authentification unique les conduit partout où ils ont envie d’aller : tous les serveurs de la société, tous les sites Web protégés par mot de passe et toutes les autres applications telles que la messagerie électronique, la gestion de la relation client (GRC) et l’informatique décisionnelle (BI, business intelligence).
En ce sens, SSO est un fantasme. Même si certains éditeurs de logiciels le considèrent comme le Graal, personne ne peut en montrer un exemple convaincant. Quand je parle de SSO, je pense réellement à une définition très étroite visant à réduire simplement le nombre de dialogues sign-on que les utilisateurs doivent effectuer pour faire leur travail. C’est pourquoi je préfère désigner ce concept sous le son de sign-on réduit.
Techniques pour permettre l’accès aux applications
Aujourd’hui, il n’est plus question de configurer les objets application avec des autorités publiques permettant au premier utilisateur venu de voir ou de mettre à jour tous les fichiers de données. Remerciez-en les lois et règlements qui s’appliquent aux configurations de données, visant à refuser l’accès par défaut.Désormais, tous les objets application doivent être configurés de telle sorte que les fichiers ne puissent être ni mis à jour ni vus hors des interfaces applicatives approuvées. Sur i5/OS, cela se fait en excluant (par *EXCLUDE) l’autorité *PUBLIC sur nos objets fichiers de données. Mais, direz-vous, si l’autorité publique est réglée sur *EXCLUDE, comment l’utilisateur peut-il obtenir l’autorité suffisante pour accéder et mettre à jour, les fichiers de données pendant qu’il utilise l’application ? Cet article décrit les techniques qui fournissent l’autorité pendant l’exécution de l’application, sans l’accorder en permanence.
Lire l'article
MIIS, la gestion des identités par Microsoft
De nos jours, les utilisateurs des systèmes d’information d’entreprise – comme les administrateurs – doivent jongler entre plusieurs identités (ou comptes utilisateur) afin d’accéder aux différentes ressources, que ce soient la messagerie, les partages (de fichiers ou d’imprimantes) ou encore les PGI. Du côté des administrateurs, la difficulté est de maintenir l’ensemble de ces bases utilisateurs hétérogènes à jour et de rendre les accès aussi « invisibles » que possible aux utilisateurs.
Pour répondre à cette problématique, Microsoft propose, depuis environ 4 ans, MIIS (Microsoft Identity Integration Server), serveur d’intégration des identités. Cette solution est disponible en 2 versions, dont une gratuite. Microsoft Identity Integration Server est le successeur de Microsoft MetaDirectory Services 2.xx.
Interface d’ajout d’utilisateur – USERADD
Lors de l’embauche d’une nouvelle personne dans une société, la première chose demandée au service informatique est la création d’un compte de domaine. Cette tâche bien que très simple, possède un impact important sur la sécurité. Voici comment se déroule à peu près le processus de création de compte. Une demande contenant les noms des personnes est soumise au service informatique par les ressources humaines ou bien par un chef de service.
Suivant la procédure, le compte est créé en respectant les règles de nommage (longueur du compte de connexion, format,…), de mot de passe par défaut (aléatoire la plupart du temps, longueur, complexité) et de droit en général (en utilisant les groupes de domaines). Cette partie ne pose en général pas de problème et peut être automatisée.
Quelques conseils pour resserrer la sécurité des comptes utilisateur
Windows essuie beaucoup de critiques sur son manque de sécurité. Pourtant, en réalité, la plate-forme Windows possède tous les ingrédients d’un système d’exploitation sûr. Qu’on en juge : puissantes fonctions de gestion des utilisateurs et des groupes, mécanismes de contrôle d’accès détaillés, séparation des droits très poussée, et de robustes moyens d’authentification et de cryptage. Mais il ne suffit pas de posséder tous ces moyens : pour optimiser la sécurité système, les administrateurs et les applications doivent utiliser réellement les fonctions.L’accès utilisateur constitue l’un des problèmes les plus courants. L’authentification de l’utilisateur est à la base du mécanisme de sécurité de Windows. Ainsi, si un intrus découvre un mot de passe Administrator et se connecte en se faisant passer pour cet utilisateur, il s’appropriera l’accès administratif de la machine. De plus, si un utilisateur peut déplacer son compte dans le groupe Administrators, il pourra alors accéder à toutes les machines auxquelles le groupe a droit. Par conséquent, la sécurisation de Windows passe en grande partie par celle des comptes utilisateur. Voici les mesures à prendre pour cela.
Lire l'article
A l’intérieur des profils utilisateurs
Demandez à 10 administrateurs Windows quelle partie de leur infrastructure leur pose le plus de problèmes et je parie qu’au moins 5 d’entre eux répondront : les profils utilisateur. Et si nous parlons de profils utilisateur roaming, ce nombre s’élèvera probablement à 8 ou 9. Malgré tous les efforts de Microsoft au fil des diverses releases Windows, ce composant continue à poser des problèmes. Voyons donc comment les profils sont supposés travailler, en examinant en détail ce qui se passe quand on crée un profil et ce qu’il advient quand le système écrit ce profil sur le serveur. Nous verrons ensuite le genre de choses susceptibles de créer des difficultés avec des profils utilisateur et comment essayer de les éviter ou de les corriger.
Lire l'article
Migration de l’état utilisateur
USMT est le meilleur choix pour les migrations d’entreprises
Transférer les données et les paramètres d’un utilisateur d’un ancien système (Windows 95 ou antérieur) sur un nouveau système Windows XP peut être une opération délicate. Il faut en effet recueillir tous les liens, paramètres, et autres données, dont l’utilisateur a besoin. Mais aussi abandonner les éléments qui ne lui sont plus utiles ...En automatisant l’opération au maximum, vous pouvez atteindre cohérence et efficacité dans le cas de migrations multiples.
Deux outils Microsoft vous aideront dans vos migrations de l’état utilisateur : FSTW (Files and Settings Transfer Wizard) et USMT (User State Migration Tool). Tous deux sont similaires sur un plan fonctionnel, mais l’interface conviviale et pilotée par GUI de FSTW convient mieux pour des migrations de masse que l’USMT scriptable, hautement personnalisable.
Gérer les profils utilisateurs
Choisissez et créez les profils appropriés pour différentes situations
Si vous avez travaillé longtemps avec des systèmes client Windows XP Professional Edition, Windows 2000 Professional ou Windows NT Workstation, vous connaissez probablement bien les profils utilisateur. Ce profil a pour objectif de sauvegarder l’information de configuration personnelle dans un emplacement sûr, où l’utilisateur pourra en disposer chaque fois qu’il se connectera ...L’information de configuration est multiple : disposition des éléments sur le bureau Windows, connexions de réseau et d’imprimante, groupes de programmes personnels et éléments de programmes dans les groupes de programmes personnels. Le profil utilisateur stocke également d’autres paramètres de configuration, parfois moins importants, comme les couleurs de l’écran, les économiseurs d’écran, les paramètres de la souris, et la taille et la position de la fenêtre. Quand un utilisateur se connecte, Windows charge son profil et configure l’environnement conformément à ses paramètres.
A première vue, les profils utilisateur peuvent apparaître comme de simples paramètres anodins. Mais, en creusant un peu plus, il s’avère qu’ils peuvent être très utiles aux utilisateurs et à vous-mêmes. Les divers types de profils utilisateur qui sont disponibles se prêtent à des situations et à des environnements différents. En reconnaissant les possibilités et les limitations de ces types de profils, vous pourrez appliquer ceux qui conviennent le mieux à vos utilisateurs et à vousmêmes.
Déplacer les profils utilisateurs
Prêt à bricoler un peu ?
Vous ne pensez probablement pas beaucoup au temps passé à travailler sur des profils. Pourtant, si vous ajoutez toutes les minutes consacrées à modifier ce paramètre d’application et cette astuce de desktop, vous constaterez que vous avez peut-être passé des mois à transformer vos profils utilisateur en chefs-d’oeuvre personnels ...Le comble, c’est quand il faut recommencer. Supposez que votre desktop soit désaffecté ou peut-être qu’il faille simplement passer à un système plus rapide. Comment pouvez-vous soit restaurer vos paramètres à partir d’une sauvegarde, soit les transférer de l’ancien ordinateur sur le nouveau ? En gros, vous avez trois possibilités : deux approches faciles mais limitées et une approche souple et polyvalente. Malheureusement, cette dernière n’est pas documentée et demande un peu de bricolage. Commençons par les principes de base.
Utiliser IntelliMirror pour gérer les données utilisateurs et le paramétrage
Revoyez votre stratégie de gestion des ordinateurs desktop
Les ordinateurs desktop sont au coeur de la plupart des entreprises. Lesquelles dépendent de plus en plus de la plate-forme desktop et de ses données. Il est donc important de se demander s’il convient de revoir, ou de réévaluer, la présente stratégie de gestion de ce parc...Commençons par quelques questions simples : Quand le disque dur de l’un des utilisateurs est défaillant, dans quel délai pouvez-vous le remettre en ligne ? Comment allez-vous récupérer les données et comment pouvez- vous restaurer l’environnement d’exploitation afin que l’utilisateur retrouve ses outils de travail ? Grâce aux fonctions IntelliMirror de Windows 2000 Server avec des clients Windows XP et Win2K, vous pouvez concevoir et appliquer une stratégie efficace pour gérer les données et les paramètres utilisateur sans trop d’effort et sans mettre à mal le budget.
Interrogez cinq informaticiens différents et vous recevrez probablement cinq descriptions différentes d’IntelliMirror. Mais en substance, IntelliMirror est un ensemble d’outils permettant d’assurer la gestion des données utilisateur, des paramètres utilisateur, des paramètres ordinateur et l’installation et la maintenance du logiciel dans le cadre des stratégies de groupe. Les technologies de base de ces composants sont au nombre de deux : AD (Active Directory) et les Stratégies de groupe. Concentrons-nous sur la gestion des données utilisateur et celle des paramètres utilisateur. Plus précisément, les profils des utilisateurs itinérants, la redirection des dossiers, et les fonctions de fichiers offline.
Résolvez rapidement les problèmes utilisateurs avec DSPSGNUSR
Pour les servants d’un Help Desk, la rapidité avec laquelle on peut faire vérifier le job log par le job de l’utilisateur détermine directement la qualité du service. Partant de là, on sait généralement ce qui s’est passé et on résout presque toujours le problème.
Lire l'article
