Veillez à bien protéger vos scripts
Vous venez juste d’écrire un superbe leur protection. Bien que vous puissiez protéger les scripts par des méthodes classiques, il existe un meilleur moyen.
Lire l'article
Antigen 9 : Aperçu et premiers essais
Lorsque Microsoft a racheté Sybari et le produit Antigen, ce choix n’a probablement pas été fait au hasard. En effet, ce produit était le plus intégré à antivirus (5 par défaut).Si ce résultat ne surprendra pas les anciens utilisateurs de la version Sybari qui remarqueront une installation encore plus facile du produit.
Lire l'article
10 raisons pour passer à Windows Server 2008
L’objectif de cet article est de vous présenter quelles seront les nouveautés principales de ce produit et surtout comment va-t-il répondre à vos problématiques actuelles et futures. Le produit étant encore en phase de développement, des changements de spécification peuvent intervenir entre la rédaction de cet article et la sortie du produit. Les multiples axes d’évolution du produit comprennent actuellement les domaines de la mobilité, de la sécurité et de la gestion. Ces évolutions sont bien plus importantes que celles que l’on avait pu découvrir lors du passage de Windows 2000 Server à Windows Server 2003 ou de Windows Server 2003 à Windows Server 2003 R2. Pour vous en convaincre, nous allons vous faire découvrir 10 nouveautés à travers trois catégories qui amélioreront et faciliteront la production de votre infrastructure informatique.
Une gestion plus efficace !
• Management simplifié du serveur
• Windows Power Shell
• Internet Information Services 7.0
Sécurité renforcée
•Renforcement de la sécurité interne : Nouveau Noyau NT 6.0 !
• Server de base "Core"
• Failover Clustering
• Network Access Protection (NAP)
Une plus grande flexibilité
• Refonte du service Terminal Serveur
• Windows Serveur virtualisation
• Service d’infrastructure sur vos sites distants (AD)
ISA 2006 et Exchange 2007: deux maillons d’une chaîne de sécurité
Encore plus qu’Exchange 2003, ISA 2006, Microsoft apporte un grand nombre de réponses à ces besoins, surtout dans la cadre de la publication de serveurs Exchange, quelle que soit la version depuis 5.5 jusqu’à 2007 en passant par 2000 et 2003. Dans certains cas, cette approche de sécurité peut aussi s’appliquer au sein de l’entreprise en considérant certaines parties de réseau comme ne faisant pas partie du périmètre de sécurité de l’entreprise.
Lire l'article
Fédération d’identités avec ADFS
Comme beaucoup d’autres entreprises, la vôtre souhaite peut-être partager des données sur le Web avec des utilisateurs externes autorisés. Vous aimeriez que ces fournisseurs ou clients puissent, très facilement, se connecter à vos ressources à l’aide de leur compte utilisateur présent, sans être obligés d’établir un compte sur votre système. Mais, bien sûr, vous voulez limiter l’accès aux seuls utilisateurs autorisés.Il existe plusieurs solutions pour exaucer ce désir. L’une d’elles est la fédération d’identités. Windows Server 2003 release 2 (R2) – présenté par Microsoft à la fin de l’année dernière – inclut une solution de fédération d’identités appelée ADFS (Active Directory Federation Services). La fédération d’identités est une technologie complexe dont vous ne connaissez pas forcément les composantes et la terminologie. J’expliquerai brièvement la fédération d’identités et la manière dont votre entreprise pourrait en bénéficier, avant d’introduire ADFS et d’en décrire un exemple simple. Dans un article suivant, je fournirai d’autres informations sur les composantes ADFS, leur mode de fonctionnement et leur mise en place.
Lire l'article
La sécurité dans Exchange Server 2007
Voila plus d’un an que Microsoft a dévoilé la nouvelle mouture de son système de messagerie Exchange Server. Une des premières choses qui ressort de cette version nommée Exchange Server 2007 est que la sécurité a été un axe majeur dans la conception du produit.
Celui-ci se découpe en différentes sous parties indépendantes, qui une fois réunies permettent aux entreprises de disposer d’un système de messagerie robuste aux attaques extérieures mais assurent également la confidentialité de vos courriels même lorsque ceux-ci transitent uniquement sur votre réseau privé.
Chiffrements symétrique vs asymétrique
Le chiffrement symétrique est le chiffrement cryptographique le plus ancien et le plus utilisé. Dans ce procédé, la clé qui déchiffre le texte chiffré est la même que (ou peut être facilement obtenue à partir de) la clé qui chiffre le texte en clair. Elle est souvent appelée clé secrète.
Lire l'article
Evolution de la sécurité de SharePoint
Microsoft SharePoint Services 2003 a évolué pour devenir Microsoft Office SharePoint Server 2007, avec un ensemble d’outils de sécurité bien plus complet et plus riche. Alors que SharePoint 2003 s’appuyait sur la sécurité par logon épaulée par Active Directory (AD), la sécurité du portail et la sécurité au niveau liste, SharePoint 2007 améliore le dispositif de sécurité existant et y ajoute des fonctions d’audit, des stratégies de stockage et des produits de collaboration sûrs, comme Excel Services.Voyons donc comment la sécurité de SharePoint a évolué, comment chaque version aborde l’authentification et l’autorisation, et comment en définitive Share- Point 2007 profitera à votre organisation.
Lire l'article
Comment se prémunir contre les attaques de piratages d’annuaire
votre serveur Exchange Server de messages et contenus indésirables. Une technique susceptible d’être particulièrement problématique pour le destinataire est l’attaque dite DHA (Directory Harvest Attack) ou piratage d’annuaire.Celle-ci consiste à envoyer des messages à des boîtes aux lettres réelles ou inexistantes, afin de permettre aux spammeurs d’identifier des adresses valides. Il existe des moyens de prémunir votre organisation Exchange contre les attaques DHA, mais il est d’abord nécessaire de comprendre leur fonctionnement.
Lire l'article
Reprise après sinistre, à bon compte
Beaucoup de produits du marché visent à assurer la disponibilité continue et la permutation rapide des rôles dans les sites System i. Certains s’appuient fortement sur le matériel. D’autres recourent aux logiciels pour la réplication d’objets logiques. Mais tous, ou presque, demandent la même chose : vous faire sortir le carnet de chèques et ajouter des fonctions matérielles/logicielles à votre machine.Installer de tels produits et configurer le support additionnel est souvent une démarche prudente, particulièrement si l’on vise une permutation de rôles rapide et la réplication d’une grande variété de types d’objets. Mais cet article s’intéresse à une autre méthode. Elle vous concerne si vous n’avez pas les moyens d’acquérir de tels produits, si vous pouvez vous contenter de répliquer simplement les derniers changements apportés à vos fichiers base de données les plus critiques, de n’effectuer généralement que de simples opérations base de données, et si vous êtes prêts à accepter des rafraîchissements périodiques plutôt que le replay continu sur un système cible. En utilisant ce qui existe déjà dans i5/OS, peut-on pratiquer une reprise plus ponctuelle que les seules sauvegardes nocturnes ? La réponse est un oui fort et clair !
Bien sûr il n’est pas ici question de haute disponibilité (HA, high availability) au sens traditionnel. Pour être honnête, il s’agit plutôt d’une disponibilité moyenne au mieux. Elle ne conviendrait pas à des environnements complexes et exigeants. Mais cette technique est gratuite !
Je me suis intéressé pour la première fois à cette méthode voilà quelques années, quand un consultant m’a demandé si la commande CL Apply Journal Changes (APYJRNCHG) pourrait utiliser comme entrée un journal distant. Ma première réponse fut « Certainement pas ! ». Cependant, alors que nous continuions à échanger des courriels, il m’est apparu que l’on pourrait peut-être leurrer quelque peu le système d’exploitation en lui faisant croire qu’un récepteur de journal distant avait été transformé en un récepteur de journal local. Ce consultant envisageait le scénario suivant : Il emploierait le support de journal distant traditionnel pour envoyer les changements de base de données d’une machine de production à une machine cible, seconde par seconde, puis périodiquement (une fois par heure environ) réveiller la cible et répéter ces changements sur une réplique des fichiers base de données critiques. Cette tactique garantit que la plupart des changements de base de données les plus récents ont été transportés sur une machine distante, disponible pour un replay périodique. Ce n’est pas la plus haute disponibilité ni la permutation de rôles instantanée, mais c’est généralement mieux et plus ponctuel qu’une simple sauvegarde nocturne des fichiers base de données critiques.
Configuration d’un serveur EDGE avec Exchange Server 2007
Exchange Server 2007 est disponible depuis quelques mois. Force est de constater que certaines fonctionnalités deviennent incontournables. Parmi celles ci, nous pouvons compter le rôle de serveur Edge. Celui-ci permet de filtrer le trafic de messagerie provenant de l’internet.Qu’est ce qu’un serveur Edge ? Le serveur Edge est l’un des cinq rôles disponibles dans Exchange Server 2007. Son but est simple : limiter la surface d’attaque des serveurs Exchange Server 2007 de l’entreprise. En implémentant cette fonctionnalité, vous dotez votre entreprise d’un serveur « tampon » entre le réseau Internet et vos serveurs de messagerie Exchange présents dans votre organisation. Le serveur Edge est déployé en général dans la DMZ de l’entreprise. Il servira de filtre antiviral et antispam avant même que le message ne parvienne sur les serveurs Exchange internes, tout en étant complètement indépendant de votre architecture Active Directory privée. Auparavant, ce type d’architecture passait par l’implémentation de produits tiers appelés couramment passerelles de messagerie internet. Avec Exchange Server 2007, vous disposez de ces fonctionnalités sans pour autant déployer d’autres solutions lourdes et coûteuses.
Lire l'article
Nouveautés des services de sécurité de WINDOWS SERVER 2008
Microsoft introduit avec Windows Server 2008 de nombreuses nouvelles fonctionnalités et technologies dont les principaux objectifs sont d’améliorer le niveau de Windows Server 2008 vont offrir de multiples niveaux de protection contre les menaces potentielles et les attaques auxquelles les systèmes informatiques et particulièrement les serveurs, sont aujourd’hui soumis. Cet article présente l’ensemble des nouvelles évolutions des services de sécurité de Windows Server 2008. Dès la première ouverture de session, l’assistant Initial Configuration Tasks Wizard propose de commencer la personnalisation du serveur. Cependant, même si cet assistant pourra guider de manière efficace l’administrateur sur les premières étapes, la grande nouveauté concerne la nouvelle console de gestion MMC Server Manager. Elle permet de configurer intégralement le serveur et affiche une vue organisée des fonctions opérationnelles sous la forme d’un tableau de bord reprenant l’essentiel des tâches.
Lire l'article
Partager l’information en toute sécurité
Dans l’article « Cachez bien vos secrets » (octobre 2005), je vous présentais le cryptage par clé partagée et par clé publique/privée. Je soulignais que le cryptage par clé partagée est adapté au cryptage de masse de grandes quantités de données, que le cryptage par clé publique/privée convient mieux pour échanger des informations entre des interlocuteurs, et que l’on peut combiner les deux avec bonheur.J’expliquais aussi comment on peut combiner le cryptage par clé publique/privée avec le hashing, pour créer des signatures numériques qui prouvent à la fois l’identité de l’envoyeur d’un message et le fait que les données n’ont pas été modifiées depuis leur signature. Le cryptage par clé publique/privée est un moyen souple et efficace de prouver l’identité et de partager des informations sécurisées entre des gens qui ne se connaissent peut-être pas.
Mais il y a un autre détail important : les utilisateurs doivent pouvoir obtenir les clés publiques d’autrui avec la certitude que la clé publique d’un utilisateur est vraiment la sienne et pas celle d’un imposteur. Pour instaurer cette confiance, on a besoin d’une infrastructure qui facilite la publication des clés publiques. Ca tombe bien, une telle technologie existe : c’est PKI (public key infrastructure).
Spécial Sécurité Vista
Au cours de ces dernières années, la sécurité de l’information a fait les gros titres. Il en a été beaucoup question à propos des attaques qui exploitent un logiciel vulnérable ou utilisent le courriel pour polluer les utilisateurs.Par le passé, les attaquants exploitaient certaines failles du logiciel et ces « exploits » demandaient un accès à distance au système vulnérable. Pour contrer la plupart de ces assauts véhiculés par Internet, on utilisait des pare-feu de périmètre judicieusement gérés.
De nos jours, l’attaque risque davantage de venir de l’intérieur. Non pas que les employés soient mal intentionnés, mais les ordinateurs approuvés peuvent être infectés par un vecteur tel qu’une pièce jointe de courriel. Ils sont ensuite connectés à votre Vista. Sachez que certaines de ces fonctions auront peut-être changé au moment où Vista sera diffusé.
La surveillance d’Exchange en toute simplicité
Les administrateurs qui exécutent Exchange Server souhaitent être informés de tout dysfonctionnement et nombre d’entre nous préféreraient identifier les petits problèmes avant qu’ils ne prennent des proportions plus sérieuses. Pour accomplir cette tâche, vous pensez peut-être qu’il faut un progiciel de surveillance et de gestion tel que Microsoft Operations Manager (MOM), OpenView de HP ou Spotlight on Exchange de Quest Software.Certes, ces outils fournissent une multitude de fonctionnalités utiles, mais vous serez peut-être surpris de découvrir les possibilités de surveillance et de contrôle intégrées directement dans vos serveurs Windows et Exchange. Vous pouvez surveiller les performances des services et applications, contrôler les services et obtenir des notifications sans coûts supplémentaires. En général, vous allez probablement constater que vous pouvez gérer une poignée de serveurs au moyen des outils prédéfinis. La valeur procurée par des outils plus sophistiqués commence à devenir intéressante dès lors que vous passez d’un petit nombre de serveurs à des organisations Exchange constituées de multiples serveurs disséminés ou lorsque vous avez des contrats de niveau de service (SLA) stricts qui instaurent comme priorité une notification précoce des problèmes.
Lire l'article
NAC : aspects techniques
Nul ne savait depuis quand l’appareil traînait dans la salle de conférence. Déguisé en magnétoscope, il ressemblait à un banal équipement obsolète et tout le monde l’ignorait. Jusqu’à ce qu’un visiteur demande s’il pouvait débrancher son câble Ethernet pour brancher son ordinateur portable.Les magnétoscopes n’ont pas de câbles Ethernet !
Le responsable de la sécurité informatique ouvrit aussitôt l’engin et découvrit le pot aux roses. À l’intérieur, un micro et un circuit imprimé avec une prise Ethernet qui, il y a quelques instants encore, était connectée à un port Ethernet de la salle de conférence. En définitive, le circuit imprimé n’était rien d’autre qu’un micro espion, rapportant à un serveur éloigné tous les propos de la salle de conférence. La piste s’arrêta là et il fut impossible de démasquer le coupable. De l’avis général, ce truc-là était présent depuis plusieurs mois.
Ce récit décrit un événement réel, mais – on le comprendra – la société concernée souhaite garder l’anonymat. Il illustre l’un des nombreux dangers que présente un port Ethernet non protégé. Il y en a beaucoup d’autres : des visiteurs qui se branchent pour scruter votre réseau ou pour utiliser abusivement la connexion Internet, des ordinateurs contaminés se connectant et infectant votre LAN, des appareils sans fil sauvages ouvrant votre réseau à l’intrusion à distance. Pourtant, à moins de verrouiller physiquement chaque port Ethernet, un administrateur de réseau était peu armé pour protéger cette ressource essentielle.
Heureusement une solution a pris la forme d’un nouvel ensemble technologique collectivement appelé NAC (Network Access Control). NAC vous aidera à sécuriser le port Ethernet omniprésent, de telle sorte que seuls les utilisateurs autorisés puissent se connecter, et qu’ils soient soumis à un minimum d’inspection en matière de logiciel malveillant, virus et failles de sécurité. NAC est utilisable dès à présent, mais pour bien le choisir, vous devez connaître les principes de base de son fonctionnement et l’étendue de ses options.
Le filtre HTTP intégré à ISA SERVER 2004
Suite à la sortie d'ISA Server 2004, Microsoft a beaucoup communiqué sur les fonctionnalités de filtrage et de sécurité avancée intégrées au produit comme la mise en quarantaine des clients VPN, le support de méthodes d'authentification puissantes (RSA SecureID, RADIUS, certificats numériques)...
Cet article est dédié à l'une de ces fonctionnalités d'ISA Server 2004 : le filtrage au niveau applicatif et plus particulièrement le filtre HTTP.Pour comprendre l'intérêt de ce nouvel outil, nous commencerons par évoquer les forces et surtout les faiblesses des pare-feu classiques, puis nous étudierons la problématique posée par les attaques au niveau applicatif (et surtout le problème de l'encapsulation HTTP) et enfin nous verrons comment ISA Server permet d'empêcher cette nouvelle forme de piratage !
La sécurité plus facile avec 802.11G
Nous aimons tous la commodité et l’agrément des LAN sans fil (WLAN, wireless LAN). Grâce à eux, nous restons connectés loin du bureau. Nous pouvons accéder à Internet aussi facilement dans un cybercafé ou à la maison qu’assis à notre bureau. Un point d’accès (AP, Access Point) sans fil d’entrée de gamme coûte moins de 75 dollars, un prix qui fait de cet appareil l’un des périphériques informatiques les plus vendus depuis l’iPod.
Et, pourquoi pas, vous pouvez littéralement brancher l’une de ces boîtes dans une prise électrique et dans votre réseau, et le tour est joué : vos portables équipés Wi- Fi se connecteront à votre réseau sans aucun fil. Mais, est-ce forcément une bonne chose ? Cette facilité est grosse d’un énorme risque pour vos réseaux de données. En effet, quand vous acceptez la configuration par défaut de beaucoup de ces AP peu coûteux, vous permettez à d’autres de se connecter à votre réseau ou d’en espionner le trafic tout aussi facilement. Heureusement, la plupart des AP sans fil comportent des fonctions faciles à configurer qui améliorent considérablement leur sécurité. En six opérations de base, vous pouvez sécuriser un petit WLAN doté d’un équipement 802.11g peu coûteux. Bien que 802.11g soit un standard IEEE, la plupart des fournisseurs proposent une myriade de fonctions fixes sur leurs produits AP sans fil. Les fonctions de sécurité restent tout de même homogènes, même si les fournisseurs baptisent différemment des fonctions semblables. Dans l’exemple de configuration présenté ici, j’utilise un Linksys WRT54G comme AP 802.11G. Le WRT54G est peu coûteux et très prisé pour le petit bureau, le domicile, et même le labo d’une grande société. Cet AP et ses congénères n’offrent bien sûr pas les mêmes prestations que les produits de classe entreprise, comme les gammes Proxim OriNOCO ou Cisco Systems Aironet. Cet article s’intéresse aux AP d’entrée de gamme basiques.
Des socket SSL à partir de RPG ? Bien sûr c’est possible !
Les sockets permettent à un programme de communiquer sur un réseau TCP/IP. Toute donnée que vous écrivez dans un socket est fragmentée en paquets et envoyée sur votre réseau ou sur Internet vers l’ordinateur de destination, où elle est reconstituée et lue par un autre programme. Ce genre de communication est la substance même d’Internet : ce sont des milliards d’octets qui circulent de par le monde. Mais il y a un hic. Les octets envoyés sur Internet traversent des dizaines de réseaux, et les ordinateurs qui en font partie peuvent les voir. Pour qu’un envoi reste privé, il faut le crypter !Le standard de cryptage des communications TCP/IP est un protocole généralement connu sous le nom de SSL (Secure Sockets Layer). Cet article donne un aperçu de SSL et vous apprend à utiliser les API GSKIT (Global Secure ToolKit) fournies avec i5/OS pour écrire vos propres applications SSL en ILE RPG.
Lire l'article
Durcir le SYSTEM I : Firewall Friendly VPN
La demande croissante d’e-business s’accompagne d’une forte exigence de sécurité. Virtual Private Network avec IP Security Architecture (IPsec VPN) y répond en fournissant le cryptage et l’authentification de bout en bout au niveau de la couche IP et en protégeant les données confidentielles qui empruntent des réseaux plus ou moins fiables.IPsec présente un double avantage : une large étendue de la couverture et une granularité agile pour la protection. Hélas, il existe des incompatibilités entre IPsec VPN et le NAT (Network Address Translation) que les pare-feu utilisent.
Ces incompatibilités doivent être résolues si l’on veut généraliser le déploiement d’IPsec VPN en e-business. La solution réside dans Firewall Friendly VPN. En V5R4, le System i peut être à la fois client et serveur pour une connexion VPN qui traverse NAT. Firewall Friendly VPN peut servir de multiples scénarios e-business tels que : fournir des relevés de comptes en ligne aux clients d’une banque, permettre à des agents d’assurance locaux de soumettre des demandes en toute sécurité par Internet, ou laisser les clients System i télécharger des documents à partir du serveur IBM RETAIN.
Les plus consultés sur iTPro.fr
- Prédictions IA & IT pour 2026
- Alerte sur les cyberattaques du secteur industriel
- Accessibilité numérique : l’impact des nouveaux design systems iOS et Android sur l’expérience utilisateur mobile
- Cloud et IA générative : le secteur de la santé visé
- La progression latérale dans les cyberattaques échappe encore à la détection !
