Ce que les modèles de sécurité peuvent vous apporter

par Mark Minasi - Mis en ligne le 17/11/2003

Découvrez le moyen reproductible et scripté de faire des modifications

Les verrous rendent perplexes les administrateurs de Windows Server 2003, XP et Win2K : il est certes possible de sécuriser les stations de travail et les serveurs, mais n'est-ce pas une opération trop longue dans la pratique ? L'idéal est un moyen de scripter le processus d'établissement de la sécurité, qui ajuste automatiquement l'ensemble des paramètres concernant la sécurité en fonction de votre organisation particulièreLa famille Windows NT - Windows XP, Windows 2000, NT 4.0 et NT 3.x - est réputée pour son insécurité. Pour ma part, je considère que ces platesformes (ainsi que les variantes Novell NetWare et Unix) sont toutes sûres parce qu'elles sont dotées de milliers de « verrous » - des éléments d'OS qui contribuent à  la sécurité en permettant de stipuler que seule la personne X peut effectuer l'action Y sur l'objet Z. Mais il existe une différence entre NT et NetWare : bien que les deux OS possèdent de tels verrous, une installation NetWare standard met en place les verrous puis demande aux administrateurs de choisir ceux qu'ils veulent déverrouiller. A l'inverse, une installation NT standard laisse la plupart de ses verrous inactifs puis laisse aux administrateurs le soin de choisir ceux qu'ils veulent. (Cette information ne s'applique pas à  Windows Server 2003, dont le concept épouse la stratégie NetWare. Win2K a davantage d'options verrouillées par défaut que NT 4.0 et XP est, en standard, plus strict que Win2K Professional.)
Les verrous rendent perplexes les administrateurs de Windows Server 2003, XP et Win2K : il est certes possible de sécuriser les stations de travail et les serveurs, mais n'est-ce pas une opération trop longue dans la pratique ? XP est un excellent OS mais, s'il faut visiter chaque desktop et intervenir sur quelques dizaines d'autorisations et de droits pour s'assurer que le desktop est sécurisé, le déploiement de XP ou de toute autre variante NT s'avère long et coûteux. L'idéal est un moyen de scripter le processus d'établissement de la sécurité, qui ajuste automatiquement l'ensemble des paramètres concernant la sécurité en fonction de votre organisation particulière.
Heureusement, une telle méthode existe. Les modèles de sécurité sont des fichiers texte ASCII qui permettent de définir de nombreux paramètres : droits et paramètres de sécurité locaux, appartenance à  un groupe local, services, autorisations de fichiers et de répertoires et autorisations de registre. Dès lors qu'un modèle de sécurité est créé, une simple commande suffit pour l'appliquer et pour faire agir tous ses paramètres. L'heure passée à  régler le registre, le snap-in Microsoft Management Console (MMC) Computer Management et d'autres outils se transforme en un travail de quelques minutes.Heureusement, une telle méthode existe. Les modèles de sécurité sont des fichiers texte ASCII qui permettent de définir de nombreux paramètres : droits et paramètres de sécurité locaux, appartenance à  un groupe local, services, autorisations de fichiers et de répertoires et autorisations de registre. Dès lors qu'un modèle de sécurité est créé, une simple commande suffit pour l'appliquer et pour faire agir tous ses paramètres. L'heure passée à  régler le registre, le snap-in Microsoft Management Console (MMC) Computer Management et d'autres outils se transforme en un travail de quelques minutes.
Les modèles de sécurité ne sont pas nouveaux dans Windows Server 2003 ou XP : ils ont fait leur première apparition dans NT 4.0 Service Pack (SP4). Mais chaque administrateur doit savoir ce qu'il peut faire exactement. Les modèles ne permettent pas de modifier quelque chose que l'on aurait pas pu modifier par un autre biais, mais ils offrent un moyen reproductible et scripté d'effectuer les modifications et ils vérifient facilement les systèmes pour s'assurer qu'ils remplissent les conditions du modèle. Vous pouvez utiliser la GUI pour effectuer ces changements manuellement, mais c'est une opération longue. Les modèles permettent d'effectuer facilement les cinq tâches suivantes touchant à  la sécurité.

Résoudre la problématique de gestion des e-mails avec LEGATO

par Catherine China - Mis en ligne le 08/10/2003

Outil de communication stratégique, la messagerie électronique est devenue une application critique, support de près de 70 % des échanges de données professionnelles. Franck Joguet, responsable Business & Développement SEMEA chez LEGATO, nous explique en quoi l'archivage d'emails va s'imposer aux entreprises comme une nécessité pour maintenir la valeur commerciale de leurs données, se parer à  d'éventuels problèmes juridiques et maintenir la fiabilité de leurs systèmes de messagerie.

Tweak UI : Meilleur que jamais

par Mark Minasi - Mis en ligne le 15/10/2003

Dans « TWEAKUI », octobre 1998 (www.itpro.fr, Club Abonnés), je couvrais un add-on Windows NT 4.0 net qui permet de contrôler le comportement par défaut de Windows Explorer et de certaines unités. Mais TweakUI de Windows 2000 est nettement supérieur à  l'utilitaire de NT.TweakUI se trouve dans le Windows 2000 Server Resource Kit Supplement One. Il réside dans le dossier tweakui, lui-même à  l'intérieur du dossier dans lequel vous avez installé les fichiers du kit de ressources - par défaut, l'outil est dans \Program Files\Resource Kit\tweakui. Dans le dossier tweakui, vous verrez aussi un fichier nommé tweakui.inf ; faites un clic droit dessus et choisissez Install pour installer TweakUI et ouvrir le fichier Help associé, tweakui.hlp. La routine d'installation TweakUI ne finira que quand vous fermerez le fichier Help.

Les nouveautés de la semaine 28 – Windows 2000 & .Net – 2003

Tous les nouveaux produits du 7 au 13 Juillet 2003

Modifier les permissions avec Subinacl

par Mark Minasi - Mis en ligne le 25/08/2003
Subinacl est un outil ligne de commande puissant et utile (disponible dans le Microsoft Windows 2000 Server Resource Kit et le Microsoft Windows NT Server 4.0 Resource Kit) qui vous permet de modifier directement presque toutes les informations de sécurité - permissions, possession ou auditing - sur toutes sortes d'objets.Subinacl permet bien sûr de modifier cette information sur les fichiers, répertoires, shares de fichiers et shares d'imprimantes, mais vous pouvez aussi l'utiliser pour contrôler les permissions sur les clés de registres, les services système et la métabase Microsoft IIS.

Simplifier la reconception des applications

par Sharon L. Hoffman - Mis en ligne le 26/05/2003
La restructuration est généralement la première étape de tout projet de modernisation d'applications et il est souhaitable de la terminer avant d'entreprendre d'autres actions comme la création de nouvelles interfaces utilisateur. Diverses stratégies et terminologies s'appliquent à  cette phase de la reconception. Ainsi, la mise en oeuvre d'un modèle de conception MVC (Model-View-Controller) est en vogue en ce moment.

Le principe sous-jacent du processus de restructuration est toujours le même. Les développeurs visent une architecture qui divise l'application en ses parties constituantes (interface utilisateur, logique de gestion, par exemple) avec des mécanismes de communication clairement définis permettant l'interaction entre les différentes portions de l'application. Bien qu'on puisse restructurer des applications avec n'importe quel langage de programmation, c'est plus facile avec certains outils et techniques. Nous verrons ici quand et comment il faut utiliser les triggers et les contraintes, ainsi que certains des écueils à  éviter. Nous verrons également les procédures stockées et l'utilisation de XML pour définir les interfaces entre les composants de l'application.

Appliquer une sécurité rigoureuse et contrôler l’attribution des rôles

par Ethan Wilansky - Mis en ligne le 17/11/2003

Comment contrôler l'attribution des rôles de Schema Master

Bien que Win2K Server utilise un modèle de réplication multimaître, certains rôles concernant l'ensemble de la forêt, particulièrement les rôles Schema Master et Domain Naming Master, doivent résider sur un DC (domain controller) dans une forêt.Gérez-vous un réseau d'entreprise qui contient une forêt de domaines Windows 2000 ? Est-il important de protéger votre réseau Win2K ? Si vous avez répondu oui à  ces deux questions,poursuivez la lecture. Bien que Win2K Server utilise un modèle de réplication multimaître, certains rôles concernant l'ensemble de la forêt, particulièrement les rôles Schema Master et Domain Naming Master, doivent résider sur un DC (domain controller) dans une forêt.
Win2K offre une infrastructure de sécurité permettant de contrôler efficacement qui peut réattribuer ces rôles spéciaux. Cependant, un utilisateur muni de privilèges administrateur dans un domaine enfant peut trouver le moyen de réattribuer un rôle concernant l'ensemble de la forêt à  un DC dans un domaine enfant. De telles réattributions menacent la sécurité parce que, à  moins de contrôler les rôles touchant à  l'ensemble de la forêt, un domaine Win2K n'est pas vraiment une frontière sûre : la forêt l'est. Je ne traite pas de la réattribution fautive des rôles concernant l'ensemble de la forêt, mais je vous donne une solution de script pour affronter ce genre d'événement.
Le script SchemaControl.vbs, illustré dans le listing 1 impose ce que j'aime à  appeler une sécurité stricte. SchemaControl.vbs détecte la réattribution du rôle Schema Master, redéfinit le rôle à  son emplacement original et envoie un message électronique pour informer quelqu'un de l'événement. D'une certaine façon, ce script fait adhérer ce rôle important à  son emplacement original. Je mets en lumière le rôle Schema Master parce qu'un administrateur dans le domaine auquel ce rôle est réattribué peut endommager le schéma de façon irréparable. Dans le pire scénario, il faudra alors reconstituer toute la forêt. Toutefois, quand vous aurez compris le fonctionnement de SchemaControl. vbs, vous pourrez modifier le script pour détecter la réattribution des autres rôles, comme le rôle Domain Naming Master. Pour exécuter le script, vous devez posséder l'autorisation de changement de rôle appropriée. Pour transformer le rôle Schema Master, vous devez avoir l'autorisation Change Schema Master, octroyée par défaut au groupe Schema Admins.

Actualités Windows NT / 2000 – Semaine 41 – 2003

Toutes les Actualités du 06 au 10 Septembre 2003

Dépanner les mises à  niveau du service pack

par Paula Sharick - Mis en ligne le 08/10/2003

J'ai utilisé trois techniques pour mettre à  niveau des serveurs et des stations de travail, mais je n'ai pas encore essayé de mettre à  niveau un DC (domain controller). Les trois techniques testées comportent une mise à  jour locale que j'ai lancée à  partir de la ligne de commande (w2ksp3.exe), une mise à  jour réseau (update.exe) et une mise à  jour packagée de Group Policy.Beaucoup d'entre vous m'ont écrit pour me signaler des problèmes de mise à  niveau ou pour me poser des questions à  ce sujet. Voici donc la liste des principales étapes qui constituent une mise à  niveau de service pack.

Actualités Windows NT / 2000 – Semaine 28 – 2003

Toutes les Actualités du 7 au 13 Juillet 2003

Sauvegarder les principaux clients Xp et Win2K

par Ed Roth - Mis en ligne le 16/07/2003
Nombreuses sont les sociétés qui n'ont pas de stratégie pour sauvegarder leurs ordinateurs desktop. Si vos utilisateurs stockent des fichiers de données sur un volume réseau que vous sauvegardez en même temps que les serveurs de fichiers, vous pouvez estimer inutile de sauvegarder les stations de travail.

Quand le système desktop d'un utilisateur est défaillant (crash ou mort), vous pouvez installer l'OS et les applications à  partir de zéro ou à  partir d'une image système et rétablir la connexion aux données intactes sur le réseau. Le plus souvent, cette méthode donne un bon équilibre entre la manageabilité et la sécurité des données.

Accès exclusif aux applications – 1ère partie

par Wayne O. Evans - Mis en ligne le 26/05/2003
La plupart des sites informatiques sécurisent les données de manière relativement simple : en contrôlant l'accès aux données des utilisateurs locaux par des interfaces traditionnelles. Ainsi, de nombreuses installations et applications cantonnent l'utilisateur final à  des sélections à  partir de menus d'application et restreignent l'entrée des commandes.

Cette sécurité par menu n'est plus adaptée aux environnements hyperconnectés d'aujourd'hui, parce que les utilisateurs disposent souvent d'outils capables de contourner la contrainte fondée sur les seuls menus. Par exemple, Client Access permet aux utilisateurs de PC d'entrer des commandes, d'utiliser des interfaces du type pointer et cliquer pour supprimer des objets, et d'échanger des fichiers avec l'iSeries (AS/400) et le PC. Les utilisateurs peuvent aussi passer outre la sécurité par menu en utilisant FTP pour obtenir et mettre (en lecture et écriture) des fichiers de données sur votre iSeries.

Quand les utilisateurs ont droit aux données de production, ils ont le moyen de copier, modifier ou supprimer ces données. Si votre installation autorise les utilisateurs à  accéder aux données de production et compte sur la sécurité par menu pour la protection, il est grand temps de modifier la stratégie de sécurité. Je conseille plutôt une stratégie de sécurité des ressources appelée accès application seulement.

En utilisant les fonctions de sécurité de l'iSeries et le niveau de sécurité 30 et supérieur, une stratégie d'accès application seulement restreint l'accès aux données de production en dehors d'une application. J'explique ici pourquoi l'accès application seulement est nécessaire sur l'iSeries. Dans un prochain article, je décrirai les problèmes que j'ai rencontrés la première fois où j'ai essayé d'utiliser cette stratégie et les solutions qui m'ont aidé à  en faire une technique utile.

Venez découvrir Windows Server 2003 au salon NetWorld+Interop 2003 !

Du 19 au 21 novembre, venez découvrir Windows Server 2003 au salon NetWorld+Interop 2003 ! Des ateliers, des démonstrations, des présentations, des conférences .... un programme très riche pour vous permettre de découvrir les produits et technologies Microsoft en détail. Un rendez-vous à  ne pas manquer ! Pour en savoir plus, cliquez ici.

Les nouveautés de la semaine 41 – Windows 2000 & .Net – 2003

Tous les nouveaux produits du 06 au 10 Octobre 2003

L’utilitaire Linkd

par Mark Minasi - Mis en ligne le xx/xx/2003
Quand un lecteur est sur le point de manquer d'espace, il est bon de pouvoir augmenter sa capacité par un moyen simple. La solution réside peutêtre dans les points de jonction de Windows 2000. A l'origine, les points de jonction palliaient la limite de 26 lettres de lecteurs. Si l'on voulait installer plus de 26 lecteurs dans Windows NT, on était impuissant après la lettre Z. Les points de jonction permettent d'installer 27 lecteurs (ou plus). Une fois le 27e lecteur installé, il se trouve dans LDM (Logical Disk Manager), formaté et prêt à  l'emploi mais inaccessible parce que Win2K n'a pas de nom à  lui donner. Pour rendre le lecteur accessible, on peut utiliser des points de jonction pour que le lecteur ressemble à  un répertoire sur un volume existant. Après avoir créé un répertoire (C:\extradrive, par exemple) sur un lecteur existant, on connecte le lecteur sans nom à  C:\extradrive (nous verrons comment plus loin). A partir de là , l'écriture de données sur C:\extradrive place les données sur un autre lecteur physique que l'écriture de données sur C:\winnt.

myLittleTools.net lance la version 2.0 de myLittleAdmin

myLittleTools.net lance la version 2.0 de myLittleAdmin, outil d'administration en ligne de bases de données SQL Server et MSDE.

Cette nouvelle version a été entièrement ré-écrite.

Un timing parfait

par Kathy Ivens - Mis en ligne le 07/07/2003
Windows 2000 inclut le service Windows Time (W32Time), qui permet de s'assurer que tous les ordinateurs Windows XP et Win2K du réseau sont à  la même heure. W32Time synchronise un ordinateur désigné comme serveur d'heure maître d'après une source d'heure extérieure, puis synchronise tous les ordinateurs du réseau par rapport à  ce serveur d'heure. Nous allons donc analyser W32Time et voir comment configurer et administrer le service sur votre réseau.

Outils client pour Analysis Services

par l'équipe OLAP d'ASPIRITY - mis en ligne le 19/05/2003

En 1996, Microsoft a fait son entrée dans le monde de l'analyse online en acquérant la technologie de la société israélienne Panorama Software. Sous le nom d'OLAP Services, cette technologie est devenue partie intégrante de SQL Server 7.0 en 1999. Dans SQL Server 2000, le produit a été étendu et rebaptisé Analysis Services. Le dernier produit d'analyse est un puissant fournisseur d'OLAP (online analytical processing), mais dépourvu d'un outil client pour consulter, présenter ou analyser des données. Les clients qui veulent utiliser Analysis Services sans écrire un navigateur client maison doivent par conséquent trouver une application client du commerce adéquate. Pour aider les lecteurs à  choisir l'application client la mieux adaptée à  leurs besoins, nous avons comparé cinq de ces produits. Après qu'au moins deux consultants aient évalué chaque outil, nous avons rapproché et récapitulé les conclusions. Nous nous sommes aussi assurés qu'au moins l'un des examinateurs de chaque outil l'avait utilisé dans un vrai contexte client.

Actualités Windows NT / 2000 – Semaine 45- 2003

Toutes les Actualités du 03 au 07 Novembre 2003

Article 1505

Professionnels de l'informatique, si vous recherchez des informations techniques sur des problématiques d'infrastructure et de déploiement, les séminaires TechNet de la nouvelle saison 2003 sont faits pour vous !

Si vous souhaitez plutôt des informations liées au développement d'applications, orientez-vous vers les séminaires MSDN ...