Comment se prémunir contre les attaques de piratages d’annuaire
votre serveur Exchange Server de messages et contenus indésirables. Une technique susceptible d’être particulièrement problématique pour le destinataire est l’attaque dite DHA (Directory Harvest Attack) ou piratage d’annuaire.Celle-ci consiste à envoyer des messages à des boîtes aux lettres réelles ou inexistantes, afin de permettre aux spammeurs d’identifier des adresses valides. Il existe des moyens de prémunir votre organisation Exchange contre les attaques DHA, mais il est d’abord nécessaire de comprendre leur fonctionnement.
Lire l'article
Reprise après sinistre, à bon compte
Beaucoup de produits du marché visent à assurer la disponibilité continue et la permutation rapide des rôles dans les sites System i. Certains s’appuient fortement sur le matériel. D’autres recourent aux logiciels pour la réplication d’objets logiques. Mais tous, ou presque, demandent la même chose : vous faire sortir le carnet de chèques et ajouter des fonctions matérielles/logicielles à votre machine.Installer de tels produits et configurer le support additionnel est souvent une démarche prudente, particulièrement si l’on vise une permutation de rôles rapide et la réplication d’une grande variété de types d’objets. Mais cet article s’intéresse à une autre méthode. Elle vous concerne si vous n’avez pas les moyens d’acquérir de tels produits, si vous pouvez vous contenter de répliquer simplement les derniers changements apportés à vos fichiers base de données les plus critiques, de n’effectuer généralement que de simples opérations base de données, et si vous êtes prêts à accepter des rafraîchissements périodiques plutôt que le replay continu sur un système cible. En utilisant ce qui existe déjà dans i5/OS, peut-on pratiquer une reprise plus ponctuelle que les seules sauvegardes nocturnes ? La réponse est un oui fort et clair !
Bien sûr il n’est pas ici question de haute disponibilité (HA, high availability) au sens traditionnel. Pour être honnête, il s’agit plutôt d’une disponibilité moyenne au mieux. Elle ne conviendrait pas à des environnements complexes et exigeants. Mais cette technique est gratuite !
Je me suis intéressé pour la première fois à cette méthode voilà quelques années, quand un consultant m’a demandé si la commande CL Apply Journal Changes (APYJRNCHG) pourrait utiliser comme entrée un journal distant. Ma première réponse fut « Certainement pas ! ». Cependant, alors que nous continuions à échanger des courriels, il m’est apparu que l’on pourrait peut-être leurrer quelque peu le système d’exploitation en lui faisant croire qu’un récepteur de journal distant avait été transformé en un récepteur de journal local. Ce consultant envisageait le scénario suivant : Il emploierait le support de journal distant traditionnel pour envoyer les changements de base de données d’une machine de production à une machine cible, seconde par seconde, puis périodiquement (une fois par heure environ) réveiller la cible et répéter ces changements sur une réplique des fichiers base de données critiques. Cette tactique garantit que la plupart des changements de base de données les plus récents ont été transportés sur une machine distante, disponible pour un replay périodique. Ce n’est pas la plus haute disponibilité ni la permutation de rôles instantanée, mais c’est généralement mieux et plus ponctuel qu’une simple sauvegarde nocturne des fichiers base de données critiques.
Configuration d’un serveur EDGE avec Exchange Server 2007
Exchange Server 2007 est disponible depuis quelques mois. Force est de constater que certaines fonctionnalités deviennent incontournables. Parmi celles ci, nous pouvons compter le rôle de serveur Edge. Celui-ci permet de filtrer le trafic de messagerie provenant de l’internet.Qu’est ce qu’un serveur Edge ? Le serveur Edge est l’un des cinq rôles disponibles dans Exchange Server 2007. Son but est simple : limiter la surface d’attaque des serveurs Exchange Server 2007 de l’entreprise. En implémentant cette fonctionnalité, vous dotez votre entreprise d’un serveur « tampon » entre le réseau Internet et vos serveurs de messagerie Exchange présents dans votre organisation. Le serveur Edge est déployé en général dans la DMZ de l’entreprise. Il servira de filtre antiviral et antispam avant même que le message ne parvienne sur les serveurs Exchange internes, tout en étant complètement indépendant de votre architecture Active Directory privée. Auparavant, ce type d’architecture passait par l’implémentation de produits tiers appelés couramment passerelles de messagerie internet. Avec Exchange Server 2007, vous disposez de ces fonctionnalités sans pour autant déployer d’autres solutions lourdes et coûteuses.
Lire l'article
Nouveautés des services de sécurité de WINDOWS SERVER 2008
Microsoft introduit avec Windows Server 2008 de nombreuses nouvelles fonctionnalités et technologies dont les principaux objectifs sont d’améliorer le niveau de Windows Server 2008 vont offrir de multiples niveaux de protection contre les menaces potentielles et les attaques auxquelles les systèmes informatiques et particulièrement les serveurs, sont aujourd’hui soumis. Cet article présente l’ensemble des nouvelles évolutions des services de sécurité de Windows Server 2008. Dès la première ouverture de session, l’assistant Initial Configuration Tasks Wizard propose de commencer la personnalisation du serveur. Cependant, même si cet assistant pourra guider de manière efficace l’administrateur sur les premières étapes, la grande nouveauté concerne la nouvelle console de gestion MMC Server Manager. Elle permet de configurer intégralement le serveur et affiche une vue organisée des fonctions opérationnelles sous la forme d’un tableau de bord reprenant l’essentiel des tâches.
Lire l'article
Windows 2003 IPSEC : 9 manières de diagnostiquer les problèmes
Vous avez mis en place IPsec pour protéger le trafic sur le Windows Server 2003 intégrés servant à diagnostiquer des problèmes IPsec si vous constatez que votre trafic n’est pas crypté. (Précisons que les techniques expliquées dans cet article ne s’appliquent pas forcément aux applications IPsec spéciales, du genre cartes IPsec et IPsec basé sur VPN.)
Lire l'article
Windows Server 2008, sécurité et virtualisation de bout en bout
Avec Windows Server 2008, Microsoft propose non seulement le système d’exploitation serveur le plus fiable du marché, mais aussi la plate-forme de virtualisation la plus adaptée, la plus ouverte et certainement la plus aboutie. Cerise sur le gâteau, IIS 7.0 a été totalement revu pour faciliter la gestion de systèmes Web plus conséquents. Alain Le Hegarat, chef de produit Windows Server fait le point sur cette nouvelle version.
Lire l'article
Combler le fossé entre Sharepoint et la restauration de fichiers
Les outils Microsoft SharePoint permettent le partage d’informations entre des groupes de personnes appartenant ou non à la même société. (Dans cet article, nous désignons Microsoft SharePoint Portal Server 2003 sous le nom de Portal Server et Windows SharePoint Services 2.0 sous le nom de SharePoint Services.Pour parler des deux, nous dirons SharePoint.)SharePoint assure la gestion des documents au moyen de deux types de référentiels de fichiers : bibliothèques et listes de documents. Les fichiers sont stockés dans une base de données de contenu SharePoint et pas dans le système de fichiers Windows. La gestion de documents de SharePoint souffre d’une énorme lacune : la difficulté de restaurer des fichiers supprimés accidentellement. En outre, bien que la gestion des versions existe, Portal Server et SharePoint Services suppriment tout l’historique des versions dès qu’on a supprimé un élément. Outre les problèmes de restauration de fichiers, SharePoint a un moteur de sauvegarde plutôt faiblard, qui ne permet pas des restaurations de fichiers uniques à partir d’une sauvegarde.
Malgré les insuffisances de SharePoint en matière de sauvegarde et de restauration, il existe des solutions parfaitement utilisables. Nous verrons comment automatiser le processus de sauvegarde SharePoint en utilisant un script de notre cru, puis nous verrons quelques approches en matière de restauration de fichiers.
Windows Mobile 6 et Exchange 2007, vers une nouvelle mobilité Windows
La Exchange 2007, il est intéressant de faire un point de l’apport réel de ces deux technologies dans le cadre de l’ultra-mobilité.
Lire l'article
Construisez vos propres systèmes de sécurité automatisés
Il était une époque où la sécurité des SQL Server n’aurait l’idée de donner le feu vert à une base de données sans contrôler au préalable ses vulnérabilités concernant la sécurité, par exemple la présence de mots de passe faibles ou de firewalls perméables. Mais comment savoir si vous avez vérifié tous les paramètres de sécurité essentiels ? Ainsi, si vous omettez de verrouiller vos dossiers d’installation ou de désactiver le compte Invité (Guest) de votre serveur, vous serez à la fête !
La réponse à la question ci-dessus consiste à élaborer un plan structuré de test de la sécurité, afin de contrôler différents paramètres de configuration requis par votre entreprise et de générer les rapports consignant les résultats des tests. Cet article présente, dans un premier temps, les aspects constitutifs d’une approche de test de la sécurité, puis fournit des exemples de code TSQL utilisables afin d’automatiser certaines parties de votre processus de test de la configuration et de génération des rapports correspondants. Mais commençons par le commencement.
Certificate Lifecycle Manager
de solutions d’authentification qui regroupent de multiples facteurs (comme connaissance d’un PIN ou d’un mot de passe, données biométriques du genre empreintes digitales, possession d’un certain appareil). Parmi les exemples d’authentification les plus connus, on retiendra les cartes intelligentes et les jetons USB. Si vous avez déjà essayé de déployer des cartes intelligentes ou des jetons USB dans un environnement PKI (public key infrastructure) Microsoft, vous savez que Windows manque de fonctions de déploiement, de gestion et de maintenance de ces deux dispositifs. Microsoft occupe désormais le terrain avec CLM (Certificate Lifecycle Manager), qui peut aussi ajouter de la valeur pour la gestion des certificats dans les déploiements PKI Windows qui n’utilisent pas de cartes intelligentes ou de jetons USB. Les caractéristiques les plus importantes de CLM sont sa capacité à faciliter le déploiement et l’administration des certificats, des cartes intelligentes et des jetons USB ; et aussi sa souplesse. Voyons d’abord comment CLM facilite l’administration et ce qui le rend aussi adaptable. Après quoi nous verrons les composantes et l’architecture CLM
Lire l'article
Windows Server 2008, SQL Server 2008 et Visual Studio 2008 : l’événement dans l’événement !
Pour la version 2008, plus de 15 000 personnes sont attendues aux TechDays 2008. Un sommaire riche à la hauteur des ambitions de Microsoft puisque toute l’offre produits et solutions d’entreprise sera présentée.« Et pour que chacun puisse trouver la meilleure information, pas moins de 300 sessions thématiques sont prévues dont 120 pour les développeurs et 200 pour les professionnels de l’informatique » résume Philippe Ouensanga, responsable architecte Infrastructure, Microsoft France. Des sessions accompagnées d’une trentaine de workshops et de plusieurs centaines de « handson labs », à savoir des ateliers techniques pour approfondir les connaissances.
Quelques exemples de parcours : la sécurité, l’administration et la supervision, l’infrastructure, la mobilité et les système embarqués, le développement avec Office, le développement Web, le design architecture, le décisionnel, la gestion des données, la gestion de contenu, etc. Parmi ces thématiques, Microsoft a souhaité mettre l’accent sur quatre grands axes à savoir : la virtualisation, l’interopérabilité, la sécurité et le déploiement.
Même si le lancement d'Office Communication Server 2007 est certainement l'une des annonces les plus importantes en termes de potentiel et d'innovation pour le futur des infrastructures informatiques, le point d'orgue de l'exercice pour l'écosystème Microsoft sera sans contexte le lancement de Windows Server 2008. Focus sur le parcours Infrastructure.
Un réseau PME « parfait »
Bienvenue au début d’une longue série d’articles traitant de la mise en place du « parfait » petit réseau PME (petites et moyennes entreprises). Nous partons du commencement: là où vous vous trouvez peut-être en ce moment, si vous créez une entreprise. Nous voulons vous présenter les composantes successives que vous devrez considérer pour votre infrastructure.Notre ambition n’est pas seulement de vous offrir une base de réseau parfaite mais aussi une solution élégante. A cette fin, au fur et à mesure que nous présenterons les éléments essentiels du réseau PME, nous proposerons des articles sur la manière de mettre ce réseau à votre service.
L’un des points importants pour bien équiper le réseau PME est de bien comprendre que les besoins de la PME sont très différents de ceux de la grande entreprise. En général, ce qui vaut pour celle-ci ne convient pas à la PME. Dans cette dernière, l’organisation de l’activité, la sophistication technique et les exigences de management sont très différentes. Pour compliquer les choses, il n’existe pas vraiment de PME type. Elles peuvent beaucoup varier entre elles en termes d’exigences de gestion et de capacités techniques. Donc, pour commencer cette série, essayons de parvenir à une définition générale des types de réseaux PME, en exposant les composantes et les caractéristiques de base. Les articles suivants utiliseront ces thèmes comme points de départ pour construire le parfait réseau PME.
SINGLE SIGN-ON: Finis les mots de passe SYSTEM i
Si seulement vous n’aviez plus jamais à vous connecter à votre System i ! Imaginez la satisfaction de vos utilisateurs finaux cliquant sur l’icône System i et obtenant immédiatement leur menu d’applications principal. Imaginez encore : Aucune invite de la part du serveur sign-on (la petite boîte GUI qui vous demande votre ID et mot de passe utilisateur) et pas d’invite 5250 Telnet redemandant ce que vous venez juste de taper dans la boîte GUI du serveur sign-on.En voilà assez de devoir cliquer sur l’icône System i et de nous connecter à la boîte du serveur sign-on, puis de recommencer le sign-on pour chaque session Telnet sur écran passif. Pourquoi en est-il ainsi ? Nous pensons que c’est stupide et nos utilisateurs finaux pensent que c’est ridicule. Tout le monde a raison : c’est à la fois stupide et ridicule.
Combien d’argent et de ressources économiserions-nous si personne ne devait plus appeler le help desk ou l’administrateur système pour redéfinir un mot de passe i5/OS ou réactiver un profil utilisateur. Une enquête du Gartner Group estime que le coût moyen d’un appel pour redéfinir un mot de passe est d’environ 31 dollars. Si 300 utilisateurs font un tel appel une fois par an, une simple multiplication nous donne un coût d’environ 9 300 dollars. Mais nous en connaissons qui appellent beaucoup plus souvent ! Alors débarrassons-nous simplement des mots de passe i5/OS de nos utilisateurs finaux. Ils ne risquent pas d’oublier un mot de passe qu’ils n’ont pas. Elémentaire, non ?
Quand j’entends parler du SSO (single sign-on) d’entreprise, j’entrevois aussitôt un paradis où les utilisateurs n’ont qu’un ID et un mot de passe (ou un autre mécanisme d’authentification du genre biométrie). Cette authentification unique les conduit partout où ils ont envie d’aller : tous les serveurs de la société, tous les sites Web protégés par mot de passe et toutes les autres applications telles que la messagerie électronique, la gestion de la relation client (GRC) et l’informatique décisionnelle (BI, business intelligence).
En ce sens, SSO est un fantasme. Même si certains éditeurs de logiciels le considèrent comme le Graal, personne ne peut en montrer un exemple convaincant. Quand je parle de SSO, je pense réellement à une définition très étroite visant à réduire simplement le nombre de dialogues sign-on que les utilisateurs doivent effectuer pour faire leur travail. C’est pourquoi je préfère désigner ce concept sous le son de sign-on réduit.
SSIS et la sécurité
Comme toutes les autres fonctionnalités présentes dans SQL Server 2005 Integration Services (SSIS), les nouveautés du produit touchant à la sécurité diffèrent sensiblement de leurs homologues dans DTS. SSIS continue d’employer des mots de passe et crypte les données sensibles, mais l’approche a profondément changé et se traduit par une simplification de l’exécution, de la protection, de la planification et de la modification des lots automatisés.Les fonctionnalités de sécurité de SSIS se répartissent en cinq catégories fonctionnelles : le cryptage, pour la sécurité des lots ou de parties d’entre eux ; la protection des données sensibles, pour l’identification et la protection des mots de passe et autres données critiques ; les rôles SQL Server, pour le contrôle de l’accès aux lots stockés dans SQL Server ; la signature numérique du code, pour garantir qu’un lot n’a pas changé ; et, enfin, l’intégration des sous-systèmes de l’Agent SQL Server, pour le stockage et l’exécution sécurisée des lots. Le présent article examine en détail ces nouvelles fonctionnalités de sécurité et propose des conseils sur les modalités et les circonstances de leur mise en oeuvre. A cette occasion, j’aimerais remercier tout spécialement Sergei Ivanov, le développeur de l’équipe Integration Services qui a écrit ces fonctionnalités, pour ses réponses à toutes mes questions et pour s’être assuré que je comprenais parfaitement les moindres détails.
Lire l'article
Techniques pour permettre l’accès aux applications
Aujourd’hui, il n’est plus question de configurer les objets application avec des autorités publiques permettant au premier utilisateur venu de voir ou de mettre à jour tous les fichiers de données. Remerciez-en les lois et règlements qui s’appliquent aux configurations de données, visant à refuser l’accès par défaut.Désormais, tous les objets application doivent être configurés de telle sorte que les fichiers ne puissent être ni mis à jour ni vus hors des interfaces applicatives approuvées. Sur i5/OS, cela se fait en excluant (par *EXCLUDE) l’autorité *PUBLIC sur nos objets fichiers de données. Mais, direz-vous, si l’autorité publique est réglée sur *EXCLUDE, comment l’utilisateur peut-il obtenir l’autorité suffisante pour accéder et mettre à jour, les fichiers de données pendant qu’il utilise l’application ? Cet article décrit les techniques qui fournissent l’autorité pendant l’exécution de l’application, sans l’accorder en permanence.
Lire l'article
Audit par utilisateur
L’audit Windows est tellement complet qu’il peut être une arme à double tranchant : les messages non critiques (ou parasites) submergent souvent les messages vraiment dignes d’attention. On ne saurait critiquer Microsoft pour le plupart des parasites d’audit. Le standard d’évaluation de sécurité Common Criteria, très réputé, exige des OS qu’ils soient capables d’auditer toute action constatée, et les administrateurs pousseraient les hauts cris si le journal d’audit ratait un seul événement qu’ils jugent important.Nul besoin, néanmoins, de capturer tous les événements. Vous pouvez réduire les parasites en réglant finement la structure d’audit pour les besoins particuliers de votre environnement. Le nouvel auditing par utilisateur de Windows peut vous aider dans cette tâche.
Lire l'article
Fonctionnalités de sécurité liées à la PKI Windows
Les services de sécurité avancés de la PKI ont longtemps été freinés par la crainte qu’un tel système soit lourd à gérer. Aujourd’hui les améliorations sur la gestion de ces services sont nombreuses, par exemple la PKI Microsoft s’interface aisément à l’Active Directory pour diffuser les certificats aux ordinateurs et utilisateurs. En outre, les solutions bâties sur les cartes à puce apportent une réponse industrielle et facilitent l’utilisation de la solution par les utilisateurs.Disponible par défaut avec Windows 2000 ou 2003 Server, les services PKI apportent de nombreuses fonctionnalités supplémentaires :
• Cryptage de fichiers avec le système EFS sous Windows XP
• Services d’authentification forte (SmartCard logon, WireLess…)
• Mise en place de réseau privé virtuel (VPN)
• Sécurisation des échanges avec IPSEC
• Messagerie sécurisée avec signature et cryptage S/MIME
• Signatures numériques (applications, macros, utilisateurs…)
Conseils pour sécuriser les portables
Il est fort probable que les portables de votre entreprise contiennent des informations sensibles que vous ne pouvez pas vous permettre de perdre. Trop souvent pourtant, les pros des technologies de l’information ne ferment la porte de l’écurie qu’après que le cheval se soit échappé. Vous devez donc prendre les mesures nécessaires pour protéger les portables et l’information qu’ils contiennent avant de la perdre. Voici les 10 étapes les plus importantes de sécurisation des portables.
Lire l'article
Les Microsoft TechDays 2008 : « c’est votre évènement »
Pour la première fois, parmi les 16 thèmes abordés, est prévu un parcours dénommé « Innovation Feuille de Route 2015 ». Il traitera uniquement de l’état de la recherche au sein de Microsoft, via le laboratoire MS Research, et abordera tous les sujets dans ce domaine à l’horizon de 5 à 10 ans. Pour concrétiser […]
Lire l'article
Quand le moindre … peut le plus
Ici, un administrateur surfant sur le Web télécharge par mégarde du code malveillant. Là, un développeur Windows écrit du code qui, pour fonctionner correctement, exige des privilèges Administrator. Ces pratiques dangereuses ont en commun de transgresser l’un des concepts les plus fondamentaux de la sécurité : le principe du moindre privilège. Il stipule qu’il faut donner à un utilisateur ou à un fragment de code, uniquement les privilèges dont il a besoin pour faire un certain travail. Rien de moins, et surtout rien de plus.Un code malveillant peut faire beaucoup plus de ravages quand il évolue dans le contexte de sécurité d’un compte hautement privilégié, et les processus hautement privilégiés, une fois compromis, ont une plus grande capacité de nuisance.
Le moindre privilège a été pendant longtemps un principe prôné et respecté dans le monde UNIX, mais Microsoft n’a commencé à le prendre au sérieux qu’avec Windows XP et Windows 2000. Le support du LUA (Least-Privileged User Account) est un thème de sécurité majeur de Microsoft Vista (précédemment Longhorn) mais, pour l’instant, XP et Win2K offrent plusieurs outils permettant d’honorer le moindre privilège.
Utilisez-les pour exécuter les processus et applications Windows à partir d’un compte LUA ou non-administrateur. Et, surtout, mettez la sécurité au premier plan.
Les plus consultés sur iTPro.fr
- La chaîne d’approvisionnement, point de rupture récurent du SI
- Ready For IT 2026 : quand l’accélération de l’innovation redessine les priorités des décideurs IT
- Microsoft Build 2026 : industrialiser l’IA agentique dans les environnements d’entreprise
- IA et souveraineté des données : les entreprises françaises redéfinissent les infrastructures IT
À la une de la chaîne Mobilité
- Asys accélère sur la planification intelligente avec l’acquisition de m-work
- Communication d’entreprise à l’ère de l’IA : fragmentation, Shadow AI et perte de contrôle
- Le bruit au travail et ses effets sur la concentration dans les bureaux modernes
- Baromètre channel IT : fin du cuivre, essor de UCaaS et premiers pas vers l’IA
- SMS et e-mails : la notification, un enjeu économique stratégique
