UAC avec Windows 7

En cliquant ici vous accèderez à un article trés intéressant sur le futur d'UAC avec Windows 7. Cet article détaille les avantages concrets apportés par UAC avec Vista. Et oui, UAC sera bien présent avec Windows 7 et, pour résumer, les 4 grands points d'amélioration seront:

• Réduire les invites inutiles ou doublon à la fois dans Windows et dans l'écosystème applicatif.
• Permettre aux utilisateurs d'être plus confiants dans contrôle de leurs systèmes.
• Faire des invites plus informatifs de façon à ce que les utilisateurs puissent choisir en confiance.
• Offrir un meilleur contrôle sur le mécanisme.

Un mot sur le SP1 de Vista … tout de même !

Vous le savez tous, le SP1 de Vista est disponible. Vous pouvez le télécharger et l'installer via Windows Update ou bien, pour certaines entreprises, le télécharger et l'installer grâce au package autonome. Quelques liens :

• Le site de Microsoft consacré au SP1
  
• Le site de téléchargement du SP1 en package autonome
  

Il faut savoir tout de même que, si vous n'utilisez pas Windows Update, vous devrez respecter un certain nombre de prérequis avant d'installer avec succès le SP1.

• Patchs nécessaires avant install du SP1 (le package autonome est sensé vous les installer en premier mais au cas où…):
  
  • KB935509
    (pour les versions Intégrale et Entreprise),
    
  • KB937287 et KB938371 (pour toutes les versions de vista).
    
• Applications incompatibles en cas d'install du SP1 :
  
  • BitDefender AV ou Internet Security 10,
    
  • Fujitsu Shock Sensor 2.1.0.0,
    
  • Zone Alarm Security Suite 7.1.078
    
  • (je vous fais cadeau des versions d'Anti-virus incompatibles en chinois !)
    
• Applications qui ne fonctionneront plus ou plus complètement après l'install du SP1 :
  • Iron Speed Designer (en anglais) 5.0.1,
    
  • Xheo Licensing (en anglais) 3.1,
    
  • Free Allegiance (en anglais) 2.1,
    
  • NYT Reader 1,
    
  • Rising Personal Firewall (en chinois) 2007,
    
  • Novell ZCM Agent (en anglais) 10.01.
    
• Les pilotes incompatibles en cas d'install du SP1 :
  • Audio drivers
    
    • Realtek AC'97
      
    • For x86-based computers: Alcxwdm.sys - version 6.0.1.6242 or earlier
      
    • For x64-based computers: Alcwdm64.sys - version 6.0.1.6242 or earlier
      
    • SigmaTel
      
    • For x86-based computers: Sthda.sys - version 5.10.5762.0 or earlier
      
    • For x64-based computers: Sthda64.sys - version 5.10.5762.0 or earlier
      
    • SigmaTel
      
    • For x86-based computers: Stwrt.sys - version 6.10.5511.0 or earlier
      
    • For x64-based computers: Stwrt64.sys - version 6.10.5511.0 or earlier
      
    • Creative Audigy
      
    • For x86-based and x64-based computers: Ctaud2k.sys - version 6.0.1.1242 or earlier
      
    • For x86-based computers: P17.sys – all versions (This was originally a Windows XP-based driver.)
      
    • Conexant HD Audio
      
    • For x86-based computers: Chdart.sys - version 4.32.0.0 or earlier
      
    • For x64-based computers: Chdart64.sys - version 4.32.0.0 or earlier
      
  • Biometric (Fingerprint) Sensors
    
    • AuthenTec Fingerprint Sensor with the Atswpdrv.sys driver file – version 7.7.1.7 or earlier
      
    • UPEK Fingerprint Sensor with the Tcusb.sys driver file – version 1.9.2.99 or earlier
      
  • Display drivers
    
    • Intel Display
      
    • For x86-based computers: Igdkmd32.sys – versions between and including driver 7.14.10.1322 and 7.14.10.1403
      
    • For x64-based computers: Igdkmd64.sys – versions between and including driver 7.14.10.1322 and 7.14.10.1403
      
  • Other drivers
    
    • Texas Instruments Smart Card Controller with the GTIPCI21.sys driver file – version 1.0.1.19 or earlier
      
    • Sierra Wireless AirCard 580 with the Watcher.exe application – version 3.4.0.9 or earlier (This application is located in the AirCard 580 Program Files folder.)
      
    • Symantec software driver for Symantec Endpoint Protection and for Symantec Network Access Control clients
      
    • For x86-based computers: Wgx.sys – versions 11.0.1000.1091 or earlier
      
    • For x64-based computers: Wgx64.sys – versions 11.0.1000.1091 or earlier
      

Ce qui est inquiétant, c'est le lien étroit entre le SP1 et les pilotes de périphériques. Pour s'en convaincre, il suffit de jeter un œil au Moniteur de fiabilité de Vista en date où vous avez installé le SP1. En gros, le SP1 a remplacé la quasi-totalité des pilotes.

En entreprise, la mise à jour des pilotes de périphériques n'a jamais été une priorité. A fortiori s'il faut mettre à jour un pilote dans sa dernière version. Les entreprises privilégient plutôt la version de pilote la plus stable : celle qui conviendra le mieux à tout un parc informatique. Et donc, je constate autour de moi que l'installation du SP1 via le package autonome provoque de gros problèmes. C'est simple : pas une installation du SP1 via le package autonome ne ressemble à la précédente !

De ce fait, les entreprises vont devoir se prémunir de ça et se poser plus sérieusement la question de la mise à jour des pilotes (via SMS, etc.). Ce qui se produit aujourd'hui avec le SP1 peut se reproduire avec le SP2 …

Par contre, rassurez-vous, vous n'aurez aucun problème à l'install du SP1 via Windows Update (puisque Windows Update s'assure que les prérequis sont installés avant de vous proposer le SP1).

Coup de projecteur sur 3 éditeurs

Je souhaitais vous présenter les produits de 3 éditeurs qui offrent vraiment des réponses à des problématiques d'entreprise d'aujourd'hui:

Tout d'abord BeyondTrust qui propose Application Rights Auditor, un outil gratuit, capable d'auditer les applications de l'entreprise et de vous reporter lesquelles nécessitent des droits d'utilisateur étendus (admin local par exemple) et sans oublier Privilege Manager, un outil qui permet de gérer au plus prés les privilèges nécessaires et suffisants à un utilisateur standard pour utiliser toutes les applications de l'entreprise. Fini les galères d'utilisateurs d'ordinateurs portables obligés d'être administrateur local. Privilege Manager étant compatible Windows Vista, il est même possible de pousser la gestion des privilèges jusqu'à ce que plus un seul message du Contrôle des Comptes Utilisateurs ne soit nécessaire (sans supprimer la fonctionnalité bien sur!).

Autre éditeur, Varonis. Cette société propose un outil de gouvernance des données appelé DatAdvantage. Vous allez pouvoir garder le contrôle sur la gestion des droits de toutes les données de tous les serveurs de fichiers de l'entreprise: avec DatAdvantage vous allez être capables de fixer vôtre politique de sécurité sur les données (retrait de "Tout le Monde", ajout de tel ou tel groupe etc.) et ensuite d'être averti en temps réel de l'application stricte de cette politique. Vous saurez donc, en tant qu'admin, qui a accès à quoi et qui outrepasse la politique de sécurité. Enfin, vous pourrez prendre les décisions qui s'imposent (application en force de la stratégie, etc.)

Pour terminer, parlons de Special Operations Software (SpecOpsSoft) qui offre une palette d'outils basés autour de l'enrichissement des stratégies de groupe. A noter la disponibilité gratuite de SpecOps Password Policy Basic qui permet d'enrichir et d'exploiter, grâce à une interface beaucoup plus sympa et avenante, les stratégies de mots de passes affinés de Windows Server 2008.

Fonctionnalités de sécurité de Windows Server 2008 – part.3

Active Directory Windows Server 2008 comprend un nouveau type de contrôleur de domaine. Le contrôleur de domaine en lecture seule (RODC ou BDC : le retour ?) Le RODC vous procure le moyen de déployer des contrôleurs de domaine pouvant répondre à des scénarios où la sécurité physique du serveur ne peut être garantie comme dans les succursales, les bureaux isolés. Cela réduit l'impact sur les utilisateurs et le reste de l'infrastructure en cas de compromission ou de vol d'un contrôleur de domaine. La copie locale de l'annuaire de chaque RODC est en lecture seule, la réplication est unidirectionnelle, le mode fonctionnel de forêt Windows Server 2003 est suffisant. Parce que vous pouvez déléguer l'administration RODC à un utilisateur de domaine ou un groupe de sécurité, les RODC sont bien adaptés pour les sites qui ne devraient pas avoir un utilisateur qui est un membre du groupe Administrateurs de domaine. Finalement, malgré la sensation de déjà-vu de cette fonctionnalité (à la NT4.0), c'est vraiment une fonctionnalité d'actualité, répondant à des besoins d'aujourd'hui : en effet, toutes les entreprises tendent à réduire leur coût d'administration et le nombre de serveurs mais sont confrontées à des problématiques de sécurité, de complexité, de gestion de sites distants etc. Les produits et services supportant nativement le mécanisme de RODC sont Active Directory Federation Services (ADFS), Active Directory Certificate Services, DNS, DHCP, DFS-R, Group Policy, Network Policy Server (Radius)/VPN, System Center Configuration Manager et System Center Operation Manager, BitLocker.

La commande adprep /rodcprep permet de préparer un domaine dont le niveau fonctionnel est Windows Server 2003 à l'arrivée d'un RODC.

A ce sujet, les entreprises veulent se rapprocher de plus en plus de leurs clients. Elles déplacent leurs employés de leurs sites centraux vers des sites distants. Avec le nombre grandissant de succursales, les besoins des responsables informatiques et les problèmes de sécurité sur ces sites distants augmentent en proportion. Dans la mesure où les succursales n'ont que très peu ou pas du tout de personnel informatique sur site, les serveurs de ces succursales posent plusieurs problèmes aux responsables informatiques. Les applications tournant sur les serveurs doivent utiliser efficacement les connexions de réseau étendu sans utiliser toute la bande passante, ce qui ralentit le transfert des données stratégiques ou diminue la qualité des performances applicatives pour les utilisateurs de la succursale. La sécurité est une plus grande préoccupation dans les succursales, car la sécurité physique du serveur ne peut pas toujours être garantie. Dans la mesure où la majorité du personnel informatique est hors du site, les solutions de serveur offrant une gestion centralisée ainsi que l'administration et le déploiement à distance sont privilégiées par rapport à la succursale.

C'est par la commande archi-connue dcpromo que vous aurez la possibilité de transformer vôtre contrôleur de domaine en Contrôleur de Domaine en Lecture Seule. En toute logique, ce sera à partir de l'installation du second contrôleur de domaine que l'option sera active.

Les principaux avantages de Windows Server 2008 pour la gestion des sites distants sont liés à l'amélioration de l'efficacité de déploiement et d'administration des serveurs des succursales, la réduction des risques en matière de sécurité dans les succursales et l'amélioration de l'efficacité des communications de réseau étendu et de l'utilisation de la bande passante. Alors par exemple, sur un site distant, pourquoi ne pas coupler un RODC avec BitLocker ? De la sorte, vous offrez une sécurité avancée (une meilleure protection) ainsi qu'une garantie d'administration maitrisée (meilleur contrôle).

Fonctionnalités de sécurité de Windows Server 2008 – part.2

L'une des problématiques de sécurité que l'on rencontre très souvent en entreprise est que, jusqu'à aujourd'hui, il était difficile d'appliquer plusieurs stratégies autour des mots de passe (force du mot de passe, verrouillage, etc.) dans le même domaine. En effet, nativement, les versions d'Active Directory de Windows 2000 Server et Windows Server 2003 n'offraient la possibilité de créer qu'une seule stratégie autour des mots de passe par domaine (au niveau de la stratégie de domaine par défaut). Pour vaincre cette limitation, il fallait soit créer d'autres domaines ou soit utiliser des outils tiers, ce qui pouvait avoir des implications et un cout sérieux. En termes de sécurité, pourquoi les entreprises ont-elles besoin d'avoir des stratégies de mots de passe différentes ? Et bien, c'est parce que tous les comptes d'utilisateurs n'ont pas le même rôle et la même importance: les utilisateurs ayant des rôles et des responsabilités d'administrateurs nécessitent une complexité de mot de passe plus forte pour résister à une attaque d'usurpation de mot de passe et également, certains comptes techniques ou de services, qui pilotent des applications sensibles nécessitent qu'on adapte leur comportement à la criticité ou la fonctionnalité de l'application.

Pour résoudre cette problématique, Active Directory version Windows Server 2008 introduit la possibilité de créer plusieurs stratégies de mots de passe par domaine. Cette fonctionnalité, appelée stratégie de mots de passes affinée (Fine-Grained Password Policy), a comme principal pré requis la nécessité d'élever le niveau fonctionnel du domaine en Windows Server 2008 (puisque de nouvelles classes d'objets font leur apparition). Ensuite comment ça marche ? Un administrateur du domaine crée un objet PSO (Password Settings Objects) qui définit une stratégie de mots de passe particulière puis applique ce PSO à des utilisateurs ou à des groupes de sécurité. En cela, une stratégie de mot de passe affinée ne s'applique pas directement à une Unité d'Organisation ou à un compte d'ordinateur.

Dans la pratique, mettre en place une stratégie affinée n'est pas à la portée de tout le monde. Tout d'abord, seul un administrateur de domaine ayant des compétences LDAP peut s'y aventurer car c'est avec ADSIEDIT que vous allez créer l'objet PSO (parler le langage LDAP s'impose). Dans ADSIEDIT, développez vôtre domaine jusqu'au nœud CN=System puis CN=Password Settings Container. Là, vous pourrez alors créer un nouvel objet PSO et vous devrez y renseigner tous les paramètres relatifs à la stratégie affinée que vous voulez appliquer (force du mot de passe etc.).

 

L'image vous montre le contenu d'un objet PSO. Les attributs sont modifiés pour bâtir la nouvelle stratégie. Il faut connaitre leur signification.

Une fois créé, vous allez appliquer le PSO à des utilisateurs ou des groupes globaux. Pour se faire, vous allez utiliser le snap-in Utilisateurs et Ordinateurs Active Directory, passer l'affichage du snap-in en mode Fonctionnalités avancées et développer vôtre domaine jusqu'au nœud System puis Password Settings Container. Vous verrez alors apparaître le PSO que vous avez créé auparavant. En ouvrant les Propriétés de ce PSO et en allant dans l'onglet Editeur d'attributs, vous serez alors à même de modifier l'attribut msDS-PsoAppliesTo qui va vous permettre de lier le PSO à un groupe global par exemple.

L'image vous montre le lien établi entre un PSO et un groupe global.

Cette fonctionnalité va contribuer à un accroissement de la sécurité car elle permet de gérer le contrôle d'accès par rôle et non de façon globale. Son implémentation, même si elle reste un peu complexe, va porter ses fruits et améliorer le service très rapidement.

Fonctionnalités de sécurité de Windows Server 2008 – part.1

A l'occasion de la sortie de Windows Server 2008, je vous propose une série de post sur les fonctionnalités de sécurité incluses. Bonne lecture !

Windows Server 2008 se doit également d'apporter des nouveautés et améliorations en termes de sécurité. Les objectifs, avec cette nouvelle version, sont d'améliorer la résistance du système par réduction de la surface d'exposition et des vecteurs potentiels d'attaque, de protéger les données et l'information et d'élever le niveau d'intégrité des réseaux d'entreprise. En cela, Windows Server 2008 inclut les apports de Windows Vista au niveau de la résilience du système (intégrité du code, renforcement des services, contrôle de l'usage des périphériques etc.), pare-feu bidirectionnel, contrôle des comptes utilisateurs mais aussi BitLocker pour protéger les disques.

Surprenant au premier abord, BitLocker est présent sur Windows Server 2008 et peut s'avérer fondamental pour tous les serveurs d'agence, non sécurisés physiquement.

En plus, Windows Server 2008 introduit un nouveau framework de cryptographie appelé CNG (Crypto Next Gen) qui, entre autre, implémente de façon native les algorithmes ECC (ECDSA, ECDH), SHA2 (Suite-B) et qui satisfait les exigences Critères Communs EAL4+ et FIPS (140-2 niv. 2) pour l'isolation forte et l'audit. Les services de certificats, dorénavant nommés ADCS (Active Directory Certificate Services), implémentent comme nouveauté le protocole OCSP (Online Certificate Status Protocol, conforme à la RFC 2560) qui peut être utilisé pour gérer et distribuer des informations sur l'état de révocation dans les cas où l'utilisation de la CRL conventionnelle ne serait pas une solution optimale.

Exemple de choix de fournisseurs de service de chiffrement dorénavant disponibles avec Windows Server 2008.

La sécurité est également renforcée avec ADRMS (Active Directory Right Management Services) qui, dans cette version Windows Server 2008, est une solution de gestion des droits d'utilisation et pas uniquement des droits d'accès, offrant une protection contextuelle et persistante. Le rôle ADRMS impose le chiffrement du contenu, apporte que les droits sont associés au contenu et pas au système de fichiers, offrant une protection indépendante de l'emplacement physique de stockage des données, pendant et après la publication.

Aperçu de l'administration des services ADRMS sous Windows Server 2008

Live from TechED IT-Forum 2007 – Prochaine release de SCVMM

Dans un précédent post je vous faisais part d'une version de SCVMM capable de gérer les serveurs VMware ESX Server : apparemment cette version sortira en beta Q2 2008 et la version finale au tout début H2 2008.