Comparer Domino et DB2 UDB

par Lori Mueller Avant d'écrire des applications Domino, sachez comment les deux bases de données se comparent et contrastent l'une avec l'autre Existant en natif sur AS/400 depuis sa version 4.6, Domino ne cesse de gagner du terrain actuellement auprès des entreprises équipées d'AS/400 séduites par son intégration des fonctions de messagerie électronique, de e-business et de prise en charge des applications. Mais Domino est replié sur lui-même, avec une interface utilisateur, un langage de programmation et une base de données uniques. Comparer la structure de la base de données de Domino et de DB2 UDB (DB2 Universal Database), la base de données native de l'AS/400, est un bon moyen pour les utilisateurs de l'AS/400 de savoir à  quoi s'en tenir avec Domino.

IBM-Intel : la guerre des processeurs continue

par Frank G. Soltis
Les processeurs IBM continuent de surpasser ceux d'Intel lorsqu'il s'agit de serveurs sur lesquels s'exécutent plusieurs applications La plupart des lecteurs de ce magazine connaissent peu ou prou les plans d'IBM en matière de processeurs pour l'AS/400. Il est donc intéressant de comparer les plans d'IBM pour ses serveurs à  l'offre processeurs d'Intel.
Les processeurs PowerPC présents dans les AS/400 actuels appartiennent à  la famille dite Star Series. Cette famille de microprocesseurs monopuces, 64 bits, a été spécialement conçue à  Rochester pour le type de tâches confiées aux serveurs sur l'AS/400. Ces mêmes processeurs animent également les modèles RS/6000 affectés à  des tâches de gestion.
En septembre 1998, nous présentions le premier membre de la Star Series, dénommé Northstar. C'était et c'est encore un microprocesseur de pointe.
En septembre 1999, nous présentions une version de Northstar plus rapide dénommée Pulsar et utilisée uniquement dans le RS/6000.
Dans le courant de cette année, nous présenterons le nouveau processeur I-Star. Il utilise les toutes dernières technologies semiconducteur d'IBM, y compris cuivre et SOI (Silicon-On-Insulator), pour plus que doubler les performances de Northstar. Au moment de son introduction, I-Star sera le microprocesseur destiné à  des serveurs le plus performant. Loin de s'endormir sur leurs lauriers, les ingénieurs de Rochester sont en train de créer un autre membre de la Série Star : S-Star, qui pousse encore plus loin les technologies semiconducteur pour obtenir une augmentation de performances d'environ 50 % par rapport à  I-Star. S-Star, qui devrait être le dernier membre de la Star Series, apparaîtra dans l'AS/400 au cours de l'année 2001.

PPTP, pour un accès sécurisé au réseau de l’entreprise

La création d'un WAN d'entreprise peut coûter cher. Souvent, les petites et moyennes entreprises ne peuvent pas s'offrir la ligne spécialisée à  grande vitesse, le firewall, le routeur, les logiciels, le support et la maintenance nécessaires pour créer même un simple WAN. La prolifération actuelle des providers d'accès Internet de qualité, des constructeurs de modems câble et des RNIS permettent de créer un WAN d'entreprise sur Internet, moyennant des frais mensuels fixes. Cette approche élimine pratiquement les coûts de démarrage traditionnellement liés à  la création d'un WAN d'entreprise. Les modems câbles et les connexions RNIS permettent de remplacer l'accès commuté traditionnel à  faible vitesse avec son cortège de lignes téléphoniques multiples et ses batteries de modems, par des réseaux privés virtuels (VPN pour Virtual Private Network) très performants.Grâce à  l'association d'une connexion Internet permanente à  grande vitesse et de PPTP (Point-to-Point Tunneling Protocol), RAS (Remote Access Service) et RRAS (Routing and Remote Access service) de NT, les utilisateurs mobiles ayant accès à  Internet bénéficient d'une connectivité sécurisée instantanée au réseau de l'entreprise. Cette approche présente deux avantages.
D'abord, un VPN permet aux utilisateurs mobiles d'éviter les frais des communications téléphoniques longue distance (en supposant qu'ils puissent accéder à  un ISP local). Deuxièmement, c'est le fournisseur d'accès qui est responsable de la maintenance, de la mise à  jour et du dépannage de l'infrastructure du WAN. Le Service Pack 4 de NT 4.0 comprend des mises à  jour de PPTP et RRAS assurant des connexions sécurisées, l'authentification mutuelle et le filtrage des paquets, améliorant ainsi significativement les performances et la fiabilité des VPN.

Comment survivre à  un plantage de DHCP

J'entretiens une relation mitigée avec les Service Packs. J'adore leurs corrections de bugs, mais je déteste toutes les fioritures qui les accompagnent. Ce mois-ci je devais entièrement recréer le serveur DNS, WINS et DHCP de mon domicile, qui avait été effacé par le SP4 de Windows NT 4.0. Mais l'expérience a été un bon exercice pour moi et elle m'a rappelé que je n'avais encore jamais évoqué sérieusement la reprise après incident de Windows NT. Lorsque j'ai déménagé dans mon logement actuel, j'ai câblé l'appartement en sachant qu'un jour je mettrais à  niveau mon réseau privé pour passer de son allure d'escargot (10 Mbps) à  un Ethernet 100 Mbps. Le prix des cartes Ethernet 100Base-T est en baisse depuis quelques années et les cartes 10/100 Mbps étaient à  peu près les seules cartes réseau sur le marché l'an dernier.

Aussi, au moment où j'ai aménagé dans mon logement actuel, 40 pour cent des périphériques de mon réseau pouvaient déjà  exploiter 100 Mbps. Depuis des mois j'avais les câbles nécessaires en place et beaucoup de cartes Ethernet, mais je n'avais pas encore passé mon réseau à  100 Mbps, car je ne pouvais pas justifier le prix de hubs 100 Mbps. Mais en voyant récemment des hubs NETGEAR à  huit ports à  moins de 1500 F dans une grande surface d'équipement bureautique, je n'ai pas résisté et je suis reparti avec les trois exemplaires que le magasin avait en stock. (A propos, j'ai trouvé les hubs NETGEAR peu après avoir appliqué le SP4 aux serveurs de mon réseau).

Inutile de m'écrire pour me dire que j'aurais pu trouver des hubs à  100 Mbps moins chers ailleurs, je suis au courant. J'ai acheté les hubs NETGEAR pour trois raisons.

D'abord je n'ai jamais acheté un seul équipement de mauvaise qualité de Bay Networks. Cela ne signifie pas que Bay Networks ne construit pas de mauvais matériel, mais je ne suis jamais tombé dessus jusqu'ici.


Deuxièmement, les commutateurs NETGEAR ont beaucoup d'affichages LED pour indiquer la vitesse de connexion, les taux d'utilisation du réseau et d'autres informations de ce type. (Ma première loi en matière de télématique est " Plus il y a de lumières, mieux c'est ").


Troisièmement, les commutateurs avaient l'avantage de se trouver là . Je me trouvais dans le magasin pour d'autres achats et les hubs attendaient sur l'étagère sous mes yeux ; je n'avais pas à  attendre la livraison d'une commande. (C'est vrai, je le reconnais, j'ai toujours besoin d'assouvir mes désirs instantanément).

Peu après avoir installé les trois nouveaux hubs dans le réseau - ce qui m'a pris en tout et pour tout 5 minutes - je remarquai que mes serveurs DNS, WINS et DHCP ne communiquaient qu'à  10 Mbps. (Ah, vous voyez l'intérêt des LED !) Je suis resté perplexe devant cette lenteur pendant une dizaine de minutes, en me demandant si le câblage du réseau n'était pas le responsable.

Finalement, la brume de sénilité s'est dégagée et je me suis souvenu que la raison pour laquelle le serveur n'exécute que DNS, WINS et DHCP est son grand âge. La lenteur du réseau s'expliquait par le fait que le serveur ne contenait qu'une carte à  10 Mbps. J'installai donc une carte 100 Mbps XL de 3Com dans le serveur, chargeai le driver, rebootai le serveur et - paf ! - me retrouvai brutalement face à  un écran bleu de la mort, un vrai de vrai. NT refusait d'aller au-delà  de l'écran bleu d'initialisation du kernel, en déclarant ne pas trouver winserv.dll. Comme je bascule tout le temps les cartes réseau entre mes serveurs, que 3Com est une maison de bonne réputation et que la carte 3Com est très répandue, je devinai que la défaillance du serveur était due à  une fragilité du SP4.

Il est impossible de restaurer une base de données DHCP sans avoir accès aux sauvegardes de quatre fichiers DHCP

SysPrep : clonez vos systèmes

Les grands réseaux sont très longs à  créer. Plus le nombre de systèmes est important, plus il faut de temps pour les déployer. SysPrep facilite considérablement cette tâche pour les administrateurs Windows NT en permettant le clonage de systèmes. Supposons que deviez créer entièrement 500 postes de travail Windows NT 4.0. S'il faut une heure pour créer chaque système, ces 500 heures de déploiement correspondront à  près de 13 semaines de travail d'un administrateur ou à  plus 3 semaines de travail de quatre administrateurs - en supposant qu'il suffit d'une heure pour créer chaque poste de travail. Car il suffit d'ajouter quelques applications à  l'installation de l'OS pour augmenter exponentiellement le temps de création et, par voie de conséquence, le coût global de possession de ces postes de travail.

Les logiciels de clonage de disque peuvent remédier au problème de l'augmentation du TCO. Ils permettent, en effet, d'installer et de configurer une seule fois des progiciels de systèmes complets et de cloner l'installation sur un grand nombre de postes de travail supplémentaires. Une fois l'installation initiale terminée, le coût de son clonage sur d'autres systèmes diminue considérablement, puisqu'il ne s'agit que de faire une copie d'un disque à  un autre.

Pour déterminer les drivers et les paramètres de configuration à  installer sur un système particulier, les OS se basent sur la plate-forme matérielle. C'est pourquoi pour cloner des systèmes, il faut s'assurer que toutes les machines clonées utilisent des composants identiques. Sinon, de mauvais drivers s'installeront et les machines ne parviendront pas à  fonctionner correctement. Dans le cas de matériels différents, il faut réinstaller les bons drivers après le clonage et cette tâche contredit l'objectif même du clonage.

Jusqu'ici Microsoft ne supportait pas le clonage, en raison de problèmes inhérents au mécanisme même du clonage. Les systèmes NT requièrent des comptes sécurisés (dits SID pour Secure ID) uniques pour fonctionner correctement dans un réseau.

De même, chaque système NT cloné nécessite un compte unique. Les générateurs de SID, tels que Norton Ghost Walker et le shareware NewSID de Systems Internals, créent des comptes uniques à  affecter à  des systèmes NT clonés. Les générateurs de SID fonctionnent bien, dans la mesure où l'on connaît bien les limites du clonage et les pièges que comporte cette technique. Cependant, Microsoft ne supporte que les logiciels et systèmes clonés avec les SID générés par son propre nouvel outil SysPrep (System Preparation). (Pour savoir comment se procurer SysPrep, allez sur le site Web de Microsoft à  l'adresse http://www.microsoft.com/ntworkstation/deployment/deployment/syspreptool.asp).

Les logiciels de clonage de disque peuvent remédier au problème de l'augmentation du TCO

Au coeur des améliorations de sécurité du SP4 : NTLMv2

En décidant de rendre Windows NT compatible amont avec LAN Manager, Microsoft se rendait-il compte des problèmes qu'allait engendrer cette décision ? Le SP4 corrige certes la faiblesse de sécurité qu'introduisait la compatibilité LM mais peut-on jamais semer les pirates… En rendant Windows NT compatible avec LAN Manager, Microsoft entendait faciliter la mise en oeuvre de NT dans les environnements LAN Manager et les sites sous Windows 95, Windows 3x, DOS et OS/2 existants. On pouvait en effet continuer à  utiliser le logiciel client LAN Manager déjà  présent dans ces OS clients. Mais en bénéficiant de la compatibilité amont, NT a du même coup hérité de certaines faiblesses importantes en matière de sécurité dues au mode de hachage des mots de passe et d'authentification du réseau propres à  LM, le protocole d'authentification de LAN Manager. (Pour en savoir plus sur les faiblesses de l'authentification LM, voir l'article " Protégez vos mots de passe " de décembre 1998). L'authentification LM utilise un mécanisme de question/réponse pour l'ouverture de session, pour éviter de devoir transmettre le mot de passe sur le réseau. Mais les vulnérabilités de LM permettent aux hackers d'espionner un segment de réseau, de saisir la question/réponse et de percer le logon. Windows NT est donc tout aussi vulnérable puisque, pour offrir cette compatibilité, il envoie et accepte automatiquement les réponses LM, ce qui est carrément dangereux.

L0phtCrack, outil de percement de mots de passe de L0pht Heavy Industries, fait peser une lourde menace sur NT, grâce à  un renifleur de question/réponse capable de capturer les logons au moment où ils ont lieu sur le réseau. Une fois en possession de ce couple question/réponse, L0phtCrack exploite les faiblesses de LM pour récupérer le véritable mot de passe. Dans sa version 2.5, l'outil est doté d'un renifleur amélioré avec interface graphique intégré dans le moteur principal (écran 1) et il ne nécessite plus, comme la précédente version, de driver de paquet spécial. Cet outil vendu dans le commerce permet même aux pirates novices d'apprendre sans difficulté les mots de passe de quiconque ouvre une session sur son segment de réseau.

L0phtCrack, outil de percement de mots de passe de L0pht Heavy Industries, fait peser une lourde menace sur NT

Avant la sortie du Service Pack 4 (SP4), les administrateurs système devaient, pour se défendre, appliquer la correction lm-fix, postérieure au SP3. Cette correction ajoutait un paramètre au Registre, LM-CompatibilityLevel, qui indiquait à  NT de ne pas supporter l'authentification LM, battant ainsi en brèche le renifleur L0phtCrack. Evidemment, cette solution impliquait de n'utiliser que NT sur les postes de travail clients, puisque Win9x, Windows 3x, DOS et OS/2 ne supportent que l'authentification LM. Malheureusement, lm-fix posait des problèmes de stabilité et Microsoft a dû le supprimer du Web, privant les administrateurs d'une solution à  un problème sérieux.

Dès la sortie du SP4, voulant vérifier si Microsoft avait inclus la fonction lm-fix, j'ai découvert une révision du protocole d'authentification de réseau NTLM, spécialement conçu par Microsoft pour améliorer la sécurité de NT. NTLMv2 se caractérise par plusieurs améliorations permettant de traiter les problèmes d'authentification, ainsi que la confidentialité, l'intégrité et le chiffrage 128 bits nécessaires pour sécuriser les sessions. Dans cet article nous présenterons les options de NTLMv2 et un certain nombre de détails non documentés et de bugs graves pour la sécurité. Nous verrons également comment chaque option permet de résister aux attaques de L0phtCrack 2.5 et traiterons les éventuelles futures attaques. Enfin, nous terminerons par des recommandations pratiques pour mettre en oeuvre la meilleure sécurité possible tout en préservant la compatibilité.

Un Cerbère protège Windows 2000

Dans la mythologie grecque, Cerbère - Kerberos en anglais - est le chien à  trois têtes qui garde l'entrée des enfers. La mise en oeuvre réalisée par Microsoft de Kerberos est un peu moins féroce tout de même. C'est la RFC (Request for Comments) 1510 qui définit le protocole Kerberos de base, développé au MIT comme partie intégrante du projet Athena et portant sur l'authentification des utilisateurs. Microsoft a intégré cette version de Kerberos dans Windows 2000 comme nouveau protocole d'authentification par défaut de l'OS. Dans cet article nous verrons les fonctions essentielles de l'implémentation de Kerberos par Microsoft.

Renforcez la sécurité de Proxy Server

De nombreuses entreprises considèrent Microsoft Proxy Server comme une solution de premier plan pour la sécurité du réseau. Cependant, même avec Proxy Server, les hackers peuvent trouver des moyens de pénétrer dans un réseau. Associant la capacité de cacher l'espace d'adressage IP interne d'une entreprise et celle d'empêcher le routage IP entre le réseau interne et Internet, Proxy Server constitue pour les entreprises une sérieuse base de sécurité. Ce qui séduit aussi beaucoup la clientèle de Proxy Server c'est la promesse d'une sécurité plug-and-play et l'exploitation de l'infrastructure BackOffice et de la base de données des comptes d'utilisateurs déjà  présents dans une entreprise.

Mais, même avec Proxy Server, les pirates intelligents peuvent pénétrer dans un réseau. Malheureusement, beaucoup d'entreprises comptent en tout et pour tout sur la configuration par défaut de Proxy Server pour assurer toute leur sécurité. Cette confiance les laisse souvent vulnérables aux attaques.

Pour maximiser la sécurité des réseaux, il faut mettre en oeuvre un certain nombre de mesures de sécurité, notamment les fonctions de sécurité avancées de Proxy Server et quelques configurations spéciales du réseau. Cet article décrit les techniques pour renforcer la sécurité de votre réseau au-delà  de la configuration par défaut de base.

La plupart de ces techniques ne demandent que quelques modifications mineures des réseaux et des serveurs existants. Vous pouvez les appliquer dès à  présent pour protéger votre entreprise contre les attaques venant d'Internet. Elles vous permettront d'ailleurs aussi très vraisemblablement de tirer le maximum de votre investissement dans Proxy Server.

La plupart de ces techniques ne demandent que quelques modifications mineures des réseaux et des serveurs existants

Les nouvelles fonctions de sécurité d’IIS 5.0

Microsoft Internet Information Server 5.0 comporte une foule de nouvelles fonctions, et notamment un traitement amélioré des comptes des utilisateurs et des ordinateurs, une meilleure exécution des applications des utilisateurs, ainsi que des fonctions de sécurité perfectionnées. Etant donné que de nombreux utilisateurs vont commencer à  utiliser Windows 2000, lui aussi porteur d'améliorations majeures en termes de sécurité, et qu'IIS 5.0 est quatre à  cinq fois plus rapide qu'IIS 4.0, il était grand temps de consacrer un article aux nouvelles fonctions de sécurité de la dernière version d'IIS. Celles-ci facilitent la configuration de la sécurité des applications et, grâce aux nouvelles technologies comme Kerberos, améliorent la cohérence de l'utilisation de la sécurité d'IIS avec d'autres systèmes.

L'utilisation d'IIS 5.0 commence par son installation sur Windows 2000. Pour tester IIS 5.0, j'ai utilisé la beta de Windows 2000 Server. La configuration de Windows 2000 a un impact sur l'utilisation d'IIS 5.0 et sur le fonctionnement des fonctions de sécurité du logiciel. Le serveur IIS 5.0 peut être configuré comme contrôleur de domaine ou installé dans un domaine Windows 2000 existant. En d'autres termes on peut l'installer sur n'importe quelle machine du domaine.

Une fois IIS 5.0 installé, j'ai utilisé Microsoft Visual InterDev 6.0 pour créer un nouveau répertoire virtuel, tâche que rendent pénible les Extensions FrontPage Server. Windows 2000 m'a obligé à  me connecter par le biais de Visual InterDev et a vérifié le compte d'utilisateur utilisé par l'OS pour créer le répertoire. En dehors de mon ID de logon et de mon mot de passe, je n'ai eu besoin d'aucune information de plus sur Windows 2000. Ce processus correspond à  celui d'IIS 4.0 pour créer un répertoire virtuel et travailler avec les fonctions de sécurité.

L'accès aux paramètres de sécurité se fait par le Gestionnaire des services Internet comme dans IIS 4.0 de Windows NT 4.0

Migrer de Domino R4 en R5

par Ben Malekzadeh
Bien que Lotus Domino Version 5 (R5) soit disponible depuis un an environ, de nombreux sites Domino n'envisagent que maintenant de faire une mise à  niveau Une fois le cap de l'an 2000 passé, votre entreprise souhaite peut-être migrer en R5 pour bénéficier des nombreuses nouvelles fonctionnalités de cette version, ou pour résoudre des problèmes qui empoisonnent depuis longtemps les anciennes versions Domino. Peut-être aussi pour profiter des améliorations de la R5 en matière de Web.

En tout cas, il faut une raison valable : pas question de consacrer énormément de temps, d'effort et d'argent à  une migration qui ne serait pas absolument nécessaire. Etudiez vos besoins et analysez soigneusement les coûts avant d'entamer une migration R5.
Je propose ici quelques conseils pour passer en douceur de la R4 à  la R5, en insistant tout particulièrement sur la manière de préparer l'infrastructure Domino existante avant de recevoir la R5. Ces conseils valent pour toute plate-forme Domino, y compris Domino pour AS/400.

Back Orifice 2000 : ange ou démon ?

A l'heure qu'il est, vous avez certainement entendu parler de Back Orifice 2000, un produit présenté comme un outil d'administration de systèmes, non dénué de quelques zones d'ombre. A en croire Cult of the Dead Cow (cDc), ses créateurs, Back Orifice 2000 est un logiciel libre qui permet l'administration à  distance légitime sur les réseaux d'entreprise, une idée qui a fait grincer les dents de pas mal de gens - dont je suis. Pour en savoir plus sur cet outil, j'ai assisté à  la présentation de Back Orifice 2000 (disponible en format RealVideo à  l'adresse http://www.defcon.org/html/defcon-7-post.html), lors de la dernière convention DefCon VII à  Las Vegas. Pendant la présentation, cDc a décrit les fonctions intégrées de Back Orifice 2000.
Au cours de la démonstration, je me suis laissé gagner par l'idée d'utiliser Back Orifice pour l'administration à  distance. L'outil m'est apparu très puissant et d'autant plus intéressant qu'il supporte le chiffrement 3DES (Triple Data Encryption Standard) sur TCP et UDP. J'ai fini par me demander si quelqu'un disposant de PPTP et de logiciels de prise de commande à  distance commercialisés, comme pcANYWHERE32 de Symantec, pouvait utiliser à  la place cet outil plus léger.

La curiosité finit par l'emporter. Je décidai de jeter un coup d'oeil sous le capot de Back Orifice 2000 pour vérifier s'il est possible de l'utiliser légitimement et en toute sécurité dans un environnement d'entreprise.
J'ai examiné la configuration du serveur et identifié les paramètres à  définir avant son utilisation. J'ai aussi parcouru chaque fonction, testé chaque commande et vérifié plusieurs plug-ins qui permettent d'étendre considérablement les fonctions. Comme vous vous en doutez, j'ai aussi examiné les implications pour la sécurité de l'utilisation de cet outil sur le réseau pour l'administration à  distance.

Windows 2000 et la sécurité

Beaucoup de nouvelles fonctions de Windows 2000 concernent la sécurité. A la vue des nouvelles fonctions comme Kerberos, Active Directory (AD) et le support intégré de l'infrastructure des clés publiques (PKI), on pourrait penser que Microsoft a remplacé la plus grande partie de l'architecture de la sécurité Windows NT. Mais, en fait, Microsoft a exploité beaucoup de fonctions de sécurité originales de NT. Malgré l'arrivée de Kerberos, AD et de la PKI, le coeur de la sécurité de Windows 2000 s'appuie sur l'infrastructure de NT 4.0. Microsoft a conçu l'architecture de sécurité de NT 4.0 avec l'évolutibilité à  l'esprit. C'est ainsi que l'on trouve des limites bien définies entre les modules et plusieurs API permettant d'ajouter des éléments de fonctionnalité (par exemple les services de chiffrement, d'authentification) sans affecter le reste du système d'exploitation.

Cet article présente l'architecture de la sécurité Windows 2000. Je commencerai par expliquer comment la sécurité de Windows 2000 a évolué depuis NT 4.0, les problèmes de NT 4.0 résolus par Windows 2000 et d'autres objectifs de conception contribuant à  l'ambition de Microsoft de faire de Windows 2000 le système d'exploitation pour l'e-commerce. J'examinerai ensuite chacun des composants de l'architecture et la place qu'il occupe dans ce tableau global.

Les canaux sécurisés de Windows NT 4.0

Les canaux sécurisés sont un élément important des relations d'approbation entre domaines NT 4.0. Ils doivent donc être gérés de façon efficace, ce qui est possible avec les outils fournis par Microsoft dans le Kit de ressources de Windows NT Server. Les administrateurs établissent des relations d'approbation entre domaines en donnant aux utilisateurs d'un domaine l'autorisation d'accéder aux ressources d'un autre sans qu'ils doivent se connecter au second. Les postes de travail NT établissent des canaux sécurisés localement avec les contrôleurs de domaine et les contrôleurs de domaine en font de même entre eux. Dans des canaux sécurisés, entre domaines, le contrôleur de domaine de chaque domaine approbateur (ressources) établit un canal sécurisé avec le contrôleur de domaine du domaine approuvé (maître). Les canaux sécurisés permettent aux contrôleurs de domaines de s'échanger des communications en toute confiance et de valider les requêtes des utilisateurs d'accéder aux ressources des domaines approbateurs.

Les canaux sécurisés entre les domaines maître et de ressources sont importants. Pour bien comprendre ce type de canaux sécurisés, vous devez connaître le processus de découverte des canaux sécurisés, l'édition du Registre permettant de sécuriser encore les canaux et les utilitaires d'administration de domaines permettant de surveiller et rétablir les canaux sécurisés.

Les canaux sécurisés permettent aux contrôleurs de domaines de s'échanger des communications en toute confiance

Le journal de sécurité de Windows NT

Votre politique de sécurité globale repose sur le journal de sécurité de Windows NT. Dernière ligne de défense de vos systèmes, il intercepte d'éventuels intrus qui auraient traversé vos autres couches d'authentification et de contrôle d'accès. Le journal de sécurité de Windows NT suit les objets accédés par les utilisateurs, comment ils sont utilisés et quels programmes ils activent. On peut suivre les actions de tous les utilisateurs, même lorsqu'ils ont des droits d'accès d'administrateur. Cet audit permet de détecter les activités suspectes à  la fois de l'extérieur ou de l'intérieur. Il vous donne de bons indices pour contrer les intrus. Peut-être pensez-vous qu'il est difficile de tirer le meilleur de votre journal de sécurité. Cet article va vous expliquer comment en maximiser le potentiel. Commençons par quelques tuyaux sur l'entretien général du journal et son alimentation.

Comment interpréter le journal de sécurité

Dans l'article " Le journal de sécurité de Windows NT " du mois dernier, j'ai donné une description générale du Journal de sécurité et cité quelques astuces de configuration pour préserver des analyses rétrospectives utiles. Mais il est également indispensable de comprendre les trois plus importantes catégories d'audit d'événements de sécurité : ouverture et fermeture de session, accès aux objets et suivi de processus. Ces trois catégories fournissent des informations cruciales servant à  faire le suivi des actions des utilisateurs. Chaque système a une stratégie d'audit à  laquelle on accède dans le menu Démarrer, Programmes, Outils d'administration, Administrateur des utilisateurs, Stratégies, Audit, boîte de dialogue Stratégie d'audit (écran 1). La boîte de dialogue Stratégie d'audit dicte laquelle, parmi les sept catégories d'événements d'audit, sera enregistrée par le Journal de sécurité local.

Dopez les performances de Domino R5 !

par Kim Greene
Grâce à  ces quelques conseils, rendez la R5 de Domino encore plus performante Domino R5 vise surtout à  l'amélioration des performances. Parmi les améliorations les plus notables de cette version, on trouve une nouvelle structure de base de documents, une meilleure évolutivité dans une partition unique, le pooling des " threads " (unités d'exécution), de meilleures performances de la pile TCP/IP, et des réglages sur la taille mémoire allouée par utilisateur. Ces améliorations donnent aux utilisateurs AS/400 encore plus d'évolutivité qu'avec Domino R4.6.x pour AS/400. Examinons les principales améliorations de performances et quelques techniques permettant de les utiliser pour obtenir le maximum de performances de R5 sur l'AS/400.

Gérer la croissance de son serveur Web

par Mel Beckman
Il est parfaitement possible de maintenir le niveau de fiabilité et de performances du serveur Web face à  une demande toujours plus forte " Fiabilité, performances, faible coût : choisissez-en deux ". Voici brièvement résumé le dilemme le plus fréquent qui se pose aux administrateurs de réseaux, qui doivent le prendre en compte pour répondre à  des utilisateurs de services Web toujours plus exigeants. S'il n'est pas très compliqué d'installer et d'exploiter un serveur Web, il est plus difficile de faire face à  un trafic Web en constante augmentation. Sur un intranet, dès lors que les développeurs portent de plus en plus d'anciennes applications sur le Web, le trafic Web local risque d'augmenter de façon exponentielle. Sur Internet, dès lors que les clients trouvent les relations commerciales et publiques sur le Web plus pratiques, le trafic à  distance sur le Web grimpe. Face à  ces deux tendances, le serveur Web d'entreprise joue un rôle de plus en plus crucial. Le défi est alors clair répondre à  ces demandes en assurant une fiabilité toujours plus grande et sans dépasser le budget.

Une première solution consiste à  beaucoup dépenser en serveurs imposants et en gros tuyaux Internet. Une autre approche plus économique consiste à  améliorer les performances du serveur Web. C'est dans ce sens que vont la plupart des techniques décrites ci-dessous.

Pour améliorer les performances, il faut analyser ces dernières pour mesurer les effets des modifications. Le rythme du serveur dépend des mesures suivantes : charge CPU, nombre de transactions Web exécutées par heure, et nombre de mégabits transmis par seconde. En capturant les valeurs courantes de ces mesures, tout en connaissant le nombre d'utilisateurs que l'on sert, on peut prévoir les conséquences d'un ajout d'utilisateurs, d'applications ou des deux. Lorsqu'on a une bonne idée des besoins des performances futures, plusieurs mesures, plus ou moins onéreuses, sont possibles pour améliorer la vitesse et la fiabilité du serveur actuel : passer à  la version supérieure de l'OS/400, optimiser les paramètres TCP/IP et LAN, ajouter du matériel de réseau AS/400, et confier certaines tâches subalternes à  d'autres serveurs.

Il faudra aussi parfois accroître la redondance pour répondre aux demandes croissantes de trafic et de fiabilité. Et, si l'on sert sur Internet, il faudra peut-être aussi élargir les connexions Internet et en augmenter le nombre. En apprenant plusieurs techniques d'administration de serveurs redondants, vous pourrez choisir la méthode la plus adaptée à  votre cas.

Avant de savoir où l'on va, il faut savoir où l'on se trouve exactement

Solutions ERP 100% “ prêtes à  l’emploi ” : la panacée ?

par Scott Steinacher

A l'exception des PC et de l'Internet, aucune innovation technologique n'a impacté le monde de l'entreprise plus profondément que les logiciels ERP (Enterprise Resource Planning). Au départ, d'une manière générale, les managers utilisaient les logiciels ERP pour automatiser les fonctions back-office de l'entreprise telles que la comptabilité, la finance et la gestion des ressources humaines. Plus récemment, les principaux éditeurs d'ERP s'intéressant désormais au traitement des commandes, à l'automatisation de la force de vente, à la gestion de la chaîne d'approvisionnement, à la planification des besoins et à bien d'autres processus pour les entreprises stratégiques, les ERP se sont éloignés de leur rôle traditionnel.

            Au fur et à mesure que l'euphorie qui entoure les ERP gagne de nouveaux marchés, de nombreuses sociétés ne semblent que trop heureuses de se débarrasser de leurs logiciels spécifiques qui les ont si bien servis pendant de nombreuses années. A mon avis, certaines entreprises vont trop vite en besogne. En effet, dans de nombreux cas de figure, les applications développées en interne ne nécessitent probablement qu'un ravalement de façade, et non une retraite prématurée.

            Il est par exemple possible de rendre les systèmes existants accessibles depuis le Web en attachant des rapports classiques aux messages électroniques émis sur l'Internet. Une autre alternative consiste à placer les rapports existants sur un intranet pour qu'ils puissent être consultés à l'aide d'un navigateur. Les interfaces graphiques des navigateurs peuvent remplacer les écrans passifs. Certes, les interfaces graphiques ne présentent peut-être aucun intérêt pour les applications de type back-office, mais pour fournir un accès aux données à des utilisateurs distants, l'Internet et les interfaces graphiques représentent désormais la norme.

            Bien évidemment, les organisations qui ont plusieurs systèmes différents redondants ont probablement besoin d'une refonte en profondeur. Ainsi, au sein d'une organisation issue de fusions et d'acquisitions, il n'est pas rare de voir plusieurs applications distinctes remplir la même fonction (la saisie des commandes par exemple) dans des divisions différentes. Dans de tels cas, l'utilisation de logiciels ERP pour normaliser les systèmes et les processus de l'entreprise est probablement justifiée mais pas forcément déterminante. Construire des interfaces reliant les applications disparates existantes ou normaliser en se basant sur l'application la plus efficace peut représenter un coût moindre. Le fait est qu'il existe souvent des alternatives attrayantes aux ERP, mais que celles-ci ne sont pas toujours envisagées sérieusement.

Exchange et les sauvegardes : les 6 erreurs à  ne pas commettre

Un de mes amis, excellent programmeur et administrateur UNIX, gère (entre autres choses) un petit serveur Exchange pour la société qui l'emploie. Une de ses grandes forces est de savoir lorsqu'il est débordé et, un jour, il m'a appelé en me demandant de l'aide. Il avait éteint le serveur Exchange, ne pouvait le relancer et n'avait pas de sauvegarde opérationnelle. Le plus stupide dans l'histoire est qu'il avait éteint le serveur pour installer un lecteur de DAT afin de faire des sauvegardes régulières !

La morale de cette histoire ? Il est indispensable de disposer de bonnes sauvegardes et, si vous n'en avez pas, vous tentez le démon. Mon ami a eu de la chance, le disque sur lequel se trouvaient les données d'Exchange était intact, j'ai donc pu restaurer les données. Cet article détaille les 6 erreurs à  ne pas commettre dans vos sauvegardes d'Exchange et la façon d'éviter un cauchemar en cas de défaillance de vos systèmes.

Quatre façons de ‘planter’ les projets ERP

par Robert Tipton

Nous sommes en plein dans une vague d'ERPmania ! Compte tenu d'une part du déluge d'histoires d'horreur provenant d'utilisateurs ayant mis en place des solutions ERP, et d'autre part, de l'état d'effervescence des fournisseurs, les applications ERP constituent l'équivalent informatique soit de l'enfer soit du nirvana. Il n'y a pas de juste milieu.

Mais que représente au juste un ERP (acronyme provenant de “ Enterprise Resource Planning ”) pour une entreprise moyenne ? A en croire les racontars, les entreprises devraient en “ avoir peur, voire très peur ”. En effet, nous avons tous entendu parlé de projets ERP ayant mal tourné. Résultat de ces échecs : des millions de francs jetés par la fenêtre, des consultants tenant des entreprises en otage, de profondes restructurations au sein des entreprises, des licenciements ou encore des banqueroutes. Si en revanche on écoute les fournisseurs de solutions ERP, les suites d'applications sont rapides et faciles à mettre en oeuvre. Toujours d'après eux, une fois installées, les applications ERP peuvent quasiment gérer votre entreprise au quotidien. Un fournisseur affirme, qui plus est, que l'on peut installer sa solution ERP en 60 jours et par la même occasion, régler ses problèmes liés au passage à l'an 2000.

            Tout cela est exagéré, même s'il y a une part de vérité dans toutes ces affirmations. Certes, certaines grandes entreprises ont perdu des dizaines de millions de francs du fait de projets ERP ratés, certaines ayant également été poussées jusqu'à la faillite. Il est également vrai que certains packages ERP s'installent rapidement et sans accrocs majeurs. Certaines solutions répondent parfaitement aux besoins et aux processus d'une entreprise donnée, sans bidouille ni personnalisation particulière. Toutefois, de tous les projets ERP ayant été mis en place dans l'industrie, les cas extrêmes décrits ci-dessus ne représentent qu'une infime minorité.

            Aussi, arrêtons d'accabler, d'encenser ou encore de polémiquer sur les solutions ERP et allons droit à l'essentiel. Voici quatre idées reçues qui vous conduiront sans aucun doute à l'échec de votre projet l'ERP. Evitez-les à tout prix (avec un peu de bon sens) et vous obtiendrez un système ERP représentant véritablement une solution à vos problèmes.