Embed Size (px)
Citation preview
Vue d’ensemble de
Quels sont les bénéfices techniques à migrer vers Windows Server 2008 ?
Objectif du séminaire
SécuritéWeb Virtualisation
Fondamentaux
• Plateformes • 32 bits (x86) • 64 bits (x64 et IA64*)
• Versions « classique » et « Server Core** »• Web • Standard• Enterprise• Datacenter* Rôles et fonctionnalités limités -
http://www.microsoft.com/windowsserver/bulletins/longhorn/itanium_bulletin.mspx
** uniquement sur Standard, Enterprise et Datacenter
• Option d’installation minimale• Surface d’exposition réduite• Interface en ligne de commande• Ensemble de rôles restreints• Choix à l’installation !• N’est pas une plateforme applicative
Server Core - « Rôles »
Server CoreComposants Sécurité, TCP/IP, Système de fichiers, RPC,plus d’autre sous-systèmes Core Server
DNS DHCPFile & Print
AD
ServerAvec .Net 3.0, shell, outils, etc.
TS IAS WebServer
SharePoint Etc…
Rôles du serveur (en plus de ceux de la version Core)
GUI, CLR, Shell, IE, Media, OE, etc.
WSV AD LDS
Media Server
IIS
Installation
Fondamentaux
Installation de Windows Server 2008
• Installation • Par fichier image (fichier .wim)• 2 modes
• Classique• Serveur Core
• Configuration initiale• Initial Configuration Tasks
• Administration du serveur • Server Manager
• Gestion des rôles• Gestion des fonctionnalités
Server Manager• Votre nouvel ami
• Rationnaliser les outils et disposer d’un outil central permettant d’ajouter, de configurer et de gérer les différents rôles et fonctionnalités du serveur
– Un seul outil pour configurer Windows Server 2008
– Portail d’administration– Ligne de commande
servermanagercmd.exe
Active Directory
Fondamentaux
Objectifs
• Disposer de mécanismes permettant une installation granulaire d’Active Directory
• Améliorer la prise en charge des serveurs distribués géographiquement (agences)
• Optimiser la consommation de bande passante
• Elever le niveau de sécurité
Active Directory Domain ServicesActive Directory Domain Controller
Active Directory Lightweight DirectoryActive Directory Application Mode
Active Directory Rights ManagementRights Management Services
Active Directory Certificate ServicesWindows Certificate Services
Active Directory : nomenclature
Active Directory dans Windows Server 2008
• Installation• Nouvel assistant de promotion en contrôleur de domaine
• Installation automatisée améliorée• Prise en charge du mode Server Core
• Sécurité• Authentification, autorisations et audit• Contrôleur de domaine en lecture seule
• Performance• Réplication Sysvol différentielle
• Administration• Active Directory sous forme de service• Editeur d’attributs• Protection contre les suppressions accidentelles• Administration des stratégies de groupe avec GPMC
• Support du server core• Utilise les ‘crédentiels’ de l’utilisateur connecté pour
la promotion• Sélection des rôles : DNS (défaut), GC (défaut),
RODC• Mode avancé (/adv)
• Sélection du site (par défaut : auto-détection)• Réplication AD durant la promotion: DC particulier,
n’importe quel DC, média (sauvegarde AD)• Auto-configuration du serveur DNS• Auto-configuration du client DNS• Création et configuration des délégations DNS
Active Directory Domain ServicesDCPROMO dans Windows Server 2008
Active Directory Domain ServicesSécurité
• Authentification• Support d’AES 256 bits pour Kerberos• Envoi du certificat du DC lors de PKINIT (stapling)• Stratégies de mots de passe multiples
• Autorisations• Gestion plus granulaire des droits des propriétaires - Owner
Access Right• Application plus efficace des politiques de mots de passe• Accès aux données sensibles - Confidentiality Bit
• Audit• Modularité de mise en œuvre plus fine• Ajout des champs “ancienne valeur” et “nouvelle valeur” au
sein des événements
Politique de mots de passe multiples• Aujourd’hui la politique des mots de passe appliquée
se définit pour l’ensemble du domaine• Default Domain Policy dans un AD 2000/2003• Pas assez granulaire pour certaines organisations
• Avec Windows Server 2008 : il devient possible de définir des politiques de comptes au niveau des utilisateurs et des groupes du domaine• Ne s’applique pas ni à l’objet ordinateur ni aux comptes locaux
(utilisateurs hors domaine)• Nécessite un niveau fonctionnel de domaine Windows Server
2008• Le schéma doit être en version 2008
• Utilisation d’une nouvelle classe d’objets msDs-PasswordSettings
Stratégies de mots de passe multiples Guide Pas à pas
• Le retour du BDC de Windows NT 4.0 ?• Réduire la surface d’exposition des DC• Réduire l’impact sur les utilisateurs et le reste de
l’infrastructure Active Directory en cas de compromission ou de vol d’un DC
• La copie locale de l’annuaire de chaque RODC est en lecture seule (droits en écriture très limités)
• Réplication unidirectionnelle AD, FRS/DFS-R et DNS
• Chaque RODC dispose de son propre compte KDC KrbTGT (identique à serveur membre)
• Les comptes machines des RODC n’appartiennent pas aux groupes “Enterprise DC” et “Domain DC” mais à un groupe spécifique « Read-only Domain Controllers »
• Un RODC ne stocke pas de condensés de mot de passe (hors Administrateur local et compte de machine) et autres attributs sensibles
Contrôleur de domaine en lecture seule (Read Only Domain Controller)
Séparation des rôles d’Administration(uniquement valable sur les RODC)• Le nombre d’administrateurs du domaine est
souvent trop important• Dans la plupart des cas ce niveau de privilège n’est
nécessaire que de manière locale
• Windows Server 2008 fournit un nouveau niveau d’accès “local administrator” pour chaque RODC• Intègre tous les Builtin groups (Backup Operators, etc)• Empêche les modifications accidentelles d’Active
Directory par les administrateurs locaux• N’empêche pas les modifications intentionnelles de la
base locale par les administrateurs locaux
Hub
`
Read Only DCHub WS 2008 DC
Branch
Read-Only DCAuthentification
1
2
3
4 5
6
6
7
7
1. AS_Req vers le RODC (requête pour TGT)
2. RODC: regarde dans sa base: “Je n’ai pas les crédentiels de l’utilisateur"
3. Transmet la requête vers un Windows Server 2008 DC
4. Windows Server 2008 DC authentifie la demande
5. Renvoi la réponse et la TGT vers le RODC (Hub signed TGT)
6. RODC fournit le TGT à l’utilisateur et met en queue une demande de réplication pour les crédentiels
7. Le Hub DC vérifie la politique de réplication des mots de passe pour savoir s’il peut être répliqué
• Mise en œuvre en environnement Active Directory 2003• S’assurer que la forêt est en mode fonctionnel 2003
• Utilisation de la réplication en mode LVR• Les RODC nécessitent la délégation contrainte Kerberos
• Au minimum un DC en lecture-écriture doit être en version 2008
• Le DC hébergeant le rôle FSMO PDC Emulateur doit être en version 2008
• ADPREP /RodcPrep• Nouveau commutateur permettant de définir les ACL sur les
partitions DNS pour la réplication RODC
• ADPREP /DomainPrep• Dans chaque domaine de la forêt si un ou plusieurs RODC doivent
héberger le Global Catalog
• ADPREP /ForestPrep• Mise à jour du schéma
Active Directory Domain Services Read-Only DC - Déploiement
• Mise en œuvre en environnement Active Directory 2008• Le premier DC de la forêt ainsi que de chaque domaine ne
peut pas être un RODC
• Limitations• Les FSMO ne peuvent pas être des RODC• Les serveurs tête de pont (Bridge-head) ne peuvent pas
être des RODC
• Coexistence• DC Windows Server 2003 et 2008 en lecture-écriture et
RODC peuvent coexister au sein du même site• Plusieurs RODC d’un même domaine ou de différents
domaines peuvent coexister au sein du même site
Active Directory Domain Services Read-Only DC - Déploiement
Active Directory Domain Services Administration
• Disponible en mode Server Core• Réduction de la surface d’exposition• Réduction de l’indisponibilité planifiée liée à l’installation des correctifs de sécurité
• Active Directory sous forme de service• Réduction de l’indisponibilité planifiée liée aux opérations de maintenance
• Editeur d’attributs• Modification possible de l’ensemble des informations sans outils tiers ou ADSIEDIT
• Protection contre les suppressions accidentelles• OOOups, qui a supprimé l’OU Users ????
• Snapshot Viewer• J’ai retrouvé l’OU Users !!!!
• Administration des stratégies de groupe avec GPMC
Administration du Serveur
Fondamentaux
Objectifs
• Rationaliser les outils d’administration
• Elargir les possibilités offertes en terme d’administration locale et distante
• Déployer plus rapidement de nouveaux systèmes (postes et serveurs)
Administration et Windows Server 2008• Le Server Manager• Windows PowerShell• Active Directory redémarrable • Administrateurs locaux sur RODC• Stratégies de groupes (GPO) (GPMC, admx/adml)• Journaux et structure des événements• Planificateur de tâches• Administration Windows à distance WinRM• Sauvegarde / restauration• Outils de diagnostics• Outils en ligne de commande
Server Core - Administration• Locale ou distante en ligne de commande
• Outils basiques• WinRM et Windows Remote Shell pour l’exécution à distance• WMI et WMIC (locale et à distance)
• Terminal Services (à distance)• Microsoft Management Console (à distance)
• RPC, DCOM
• SNMP• Planificateur de tâches• Evénements et transfert d’événements• Pas de support du code managé donc pas de support
de Windows PowerShell
Services de déploiement Windows(Windows Deployment Services)
• Solution de déploiement pour Windows Server 2008• Nouvelles technologies : WIM, IBS, WinPE
• Ensemble d’outils pour personnaliser l’installation• Démarrage à distance d’un environnement de pré-
installation (WinPE)• Notion de serveur PXE• Support du multicast
• Administration graphique et en ligne de commande• Wdsutil.exe
Terminal Server : accès centralisé aux applications
Fondamentaux
Terminal Services avec Windows Server 2008
• Améliorer l’expérience utilisateur et enrichir les scénarios d’usages• Permettre l’accès de n’importe où• Faciliter le déploiement des applications• Offrir un portail d’accès• Authentification unique
• Nouveautés• Passerelle TS (TS Gateway)• Applications distantes (Remote Apps)• Portail TS Web• Authentification unique• Impression (Easy Print)
Centre de données
En déplacement avec sonordinateur portable
En agence
De la maison
TS GatewayAccès distant au bureau et applications internes
DMZ
HTTPS (TCP 443)
Internet LAN d’entreprise
Hôtel, hotspot
Par
e-fe
u e
xter
ne
Par
e-fe
u in
tern
e
Partenaire / employé sur un site client
Poste de travail (avec bureau distant)
Terminal ServerTS Gateway
Active Directory TS WebLa maison
RDP dans RPC/HTTPS RDP
RDP(TCP 3389)
Connection Authorization Policies (CAPs)
• Les stratégies CAPs permettent de spécifier qui peut utiliser et donc se connecter à une Passerelle TS.
• Il suffit de spécifier un groupe d’utilisateurs soit :• local au serveur Passerelle TS• dans l’Active Directory
• Il est possible de spécifier d’autres conditions que les utilisateurs doivent satisfaire pour accéder à la Passerelle TS.
• Bien que les stratégies CAPs autorisent les utilisateurs à accéder à la Passerelle TS, ils n’autorisent pas ces utilisateurs à accéder aux ressources Terminal Server sur le réseau d’entreprise• Pour cela, il faut définir des RAPs
Resource Authorization Policies (RAPs)• Les stratégies RAPs permettent d’autoriser l’accès
vers des ressources Terminal Server à des utilisateurs connectés au travers de la Passerelle TS.
• Sans RAP : pas d’accès aux services TS via la Passerelle TS
• Il faut donc, dans un premier temps, définir des groupes de ressources (Resource Groups) = liste de serveurs TS
• Puis créer une RAP en associant un ou plusieurs groupe(s) de ressources à des utilisateurs ou groupes d’utilisateurs
Les applications distantes (Remote Apps)• Applications qui
s’exécutent sur le Serveur TS
• Intégration avec le bureau de l’utilisateur sous la forme de raccourcis • Accès aux données locales• Intégration dans la barre de
taches• Glisser & Déplacer
• Côte à côte avec les applications locales
Bénéfices:
Meilleure ergonomie, diminution la complexité (bureaux multiples),
Intégration avec le client RDP 6.x
Gestion centralisée des applications
Déploiement de l’application sans installation des binaires sur le poste (.msi, .rdp)
Bénéfices:
Meilleure ergonomie, diminution la complexité (bureaux multiples),
Intégration avec le client RDP 6.x
Gestion centralisée des applications
Déploiement de l’application sans installation des binaires sur le poste (.msi, .rdp)
Exécution distante de « faux » programmes?!Les programmes distants…• Ont l’apparence d’applications locales…• Accèdent aux ressources locales avec les
redirections…• Sont donc un vecteur potentiel d’attaque contre
les clients..Solution: RDPSign• Permet de signer numériquement un fichier
RDP• Le certificat de l’éditeur permet de déterminer
l’origine• Nouvelle interface utilisateur permettant
d’accorder ou pas la confiance à l’application• La décision de confiance de l’utilisateur est
contrôlable par stratégie de groupeSavez-vous qui récupère votre mot de passe ?
Portail TS Web• Objectif : Offrir un portail sous la forme de “Web
part” pour accéder aux applications Terminal Server
• Spécifier le serveur lorsqu’il existe un seul serveur TS
• Personnaliser à partir de solutions personnalisée ASP ou tierce parties
Single Sign On• Possible avec le client
Windows Vista ou Windows Server 2008 et un serveur TS Windows 2008• Configurer l’authentification sur
le serveur• Security layer : Negociate ou SSL
• Configurer la délégation des crédentiels sur le client
Terminal Services Easy PrintPilote d’impression universel
• Problématiques• Le bon pilote d’impression n’est pas installé sur le
serveur TS• Il n’existe pas de pilote pour le système serveur (ex. 64
bits)
• Solution : TS Easy Print• Redirection transparente des imprimantes disponibles
sur les clients sans installation de pilotes sur les serveurs
• Utilisation du format XPS (XML Paper Specification)• Toutes les options constructeurs sont disponibles au sein
de la session TS pour l’utilisateur (panneau de configuration de l’imprimante)
• Réduction de la bande passante pour des travaux d’impression standards ou imprimés plusieurs fois
Plateforme Web
Web
Objectifs
• Fournir une plateforme modulaire• Assurer une sécurité par défaut • Disposer d’outils d’administration
adaptés à tous les profils• Faciliter la collaboration
administrateurs / développeurs• S’affranchir des restrictions
existantes sur les versions antérieures
Approche modulaire• Installation personnalisable : Plus de 40 modules
• Un module est soit une DLL Win32 (module natif) soit du contenu .NET 2.0 dans une assembly (module managé)
• Tous les modules peuvent être ajoutés, supprimés voire remplacés par des modules développés en C++ (API IIS 7.0) ou avec les API ASP.NET 2.0
ASP.NET sur IIS 6.0
• IIS6 • Implémentation
Monolithique• Extensibilité limitée
• ASP.NET• Extension ISAPI• Ne traite que les requêtes
ASP.NET (.aspx)
Authentication
Basic NTLM Anon
...
DetermineHandler
...
SendResponse
HTTP Request
HTTP Response
CGI
Static File
ISAPI
Compression
Log
aspnet_isapi.dll
Authentication
MapHandler
Forms Windows
...ASPX
Trace
...
...
ASP.NET sur IIS 7.0
2 modes ASP.NET :• Mode ISAPI (pour
compatibilité)• Mode intégré
• ASP.NET HttpModules directement dans le server
• Le code du HttpModules ou du Global.asax peut porter sur toutes les requêtes
• Le serveur peut être étendu ou personnalisé avec du VB ou du C#
ISAPI
Authentication
...
ExecuteHandler
...
SendResponse
Authorization
UpdateCache
ResolveCache
HTTP Request
HTTP Response
Anon
aspnet_isapi.dll
Authentication
MapHandler
...
...
Forms Windows
ASPX
Trace
...
Basic
Compression
Log
Static File
Configuration unifiée• IIS7 fournit aux développeurs et administrateurs un
système de configuration unifiée pour le paramétrage d’ASP.NET et de IIS 7.0 sous la forme de fichiers XML.
• Pour accéder à ces fichiers, IIS 7.0 dispose d’un ensemble de codes managés et d’API de scripting permettant d’agir sur cette configuration
• IIS 7.0 permet également de stocker la configuration dans un fichier web.config situé dans le même répertoire que le site ou l’application. Ce fichier peut être copié de machine à machine, simplifiant ainsi les déploiements dans des fermes de serveurs Web
Hiérarchie des fichiers de configuration
.Net Framework
IIS
Localoudistant(UNC)
Gestion des fermes web – configuration centralisée
• Scenario d’usage pour les fermes de serveurs Web• Les serveurs web partagent un même fichier de
configuration• Le fichier de configuration est accessible via un chemin UNC• Les paramètres de configuration sont stockées dans le fichier
redirection.config• Disponible en Workgroup ou AD (compte local ou AD)
XML
AppHost.config
IIS 7- Administration Plusieurs méthodes
• Console Internet Information Server Manager
• Outil en ligne de commande : Appcmd.exe
• Edition manuelle des fichiers XML de configuration
• API Administration (pour développeurs .Net)
• API Administration scriptée (pour administrateurs développeurs WMI)
Délégation d’administration• La fonction de délégation dans IIS 7
permet :• Le verrouillage de sections de configuration
pour contrôler quels paramétrages peuvent être définis dans les fichiers web.config (en général, une section de configuration de IIS correspond à un module de IIS)
• De définir par site et application, les utilisateurs autorisés à utiliser la console IIS Manager pour :• Voir la configuration• Modifier la configuration des fonctions qui ont
leur section "déverrouillée"
Sécurité de IIS 7.0• IIS 7.0 a été conçu avec les mêmes exigences et
fondamentaux que IIS 6.0 et améliore encore cette approche sécurité sur 3 points :• Surface d’exposition réduite
• IIS 6.0 = verrouillé par défaut• IIS 7.0 = installation minimale par défaut
• Gestion de la sécurité plus flexible• Délégation granulaire de l’administration• Utilisateur et group par défaut (Built-in)
• Nouvelles fonctions de sécurité• Au revoir URLScan, bonjour Request Filtering• Nouveau : Hidden Namespaces
Nouveautés du serveur FTP pour IIS 7• Intégration avec la nouvelle configuration et les outils
d’administration d’IIS 7.0• Support des nouveaux standards Internet
• SSL (FTPS)• UTF8• IPv6
• Amélioration des environnements hébergés• Intégration avec les sites Web• Support des noms d’hôtes• Isolation des utilisateurs améliorée
• Extensibilité• Authentification personnalisée (utilisation de comptes non-
Windows)• Commandes personnalisées
Virtualisation
Virtualisation
VirtualHard Disks
VM 1Parent
VM 2Child
VM 3Child
Windows Server Virtualization
VirtualizationPlatform andManagement
Standard Hardware
Windows Server 2003
Virtual Server 2005 R2
VM 2 VM 3
Windows HyperVisor
Intel VT / AMDV
Windows Server Virtualisation• Objectifs
• Améliorer les performances : fondé sur un hyperviseur• S’ouvrir de nouveaux scénarios d’usage• Etendre considérablement la notion de virtualisation de
périphériques
• Définition• Hyperviseur : fine couche logicielle situé sous tous les
OS• Partition parente : une partition qui gère ses enfants• Partitions enfant : tout nombre de partitions qui sont
démarrées, gérées et arrêtées par leur parent• Pile de virtualisation : la collection des composants qui
s’exécutent dans la partition parente pour la gestion de la machine virtuelle
Windows Server Virtualization
ApplicationInvité
Operating System
ApplicationInvité
Operating System
H/WVirtuel
H/WVirtuel
R2
Serveur x86/x64Assistance matérielle à la
Virtualisation Intel VT/AMD-V
(32-bit et 64-bit)Windows Hypervisor
VM 1“Parent”
Disponible avec Microsoft Virtual Server 2005 R2 SP1Windows Hypervisor le supportera
Solution de virtualisation Haute performanceDisponible avec LonghornWindows Server 'Longhorn‘ Datacenter Edition : nombre illimité d’instances virtualiséesMigration depuis Microsoft Virtual Server
VM 2“Enfant”
VM 3“Enfant”
VM 4“Enfant”
Partition Parent Partition EnfantCouche de virtualisation
Architecture de Windows Server Virtualization
Partition Parente Partitions Enfant
Mode Kernel
Mode User
VirtualizationService
Providers(VSPs)
Noyau
Windows
Server Core
IHVDrivers
VirtualizationServiceClients(VSCs)
Noyau
Windows
EnlightenmentsVMBus
Hyperviseur Windows
Virtualization Stack
VM WorkerProcessesVM
Service
WMI ProviderApplications
Hardware Serveur Designed for Windows
Fourni par :
Microsoft
ISV
OEM
Virtualisation
Collaboration Microsoft - XenSource
Windows hypervisor
“Designed for Windows” Server Hardware
Basic
Linux Kernel
Applications
WindowsKernel
Longhorn Server
VSP
Windows Server 2003, “Longhorn”
Applications
WindowsKernel VSC
VMBus VMBus Emulation
Xen-enabled
Linux Kernel
Applications
VSC
VMBus
Fourni par:
OS
MS/XenSource
ISV/IHV/OEM
Windows
virtualization
Windows Server Virtualization
Sécurité & respect des politiques
Sécurité
Objectifs
• Améliorer la résistance du système par réduction de la surface d’exposition et des vecteurs potentiels d’attaques.
• Protéger les données et les informations
• Elever le niveau d’intégrité des réseaux d’entreprise
Windows Server 2008 et la sécurité• Résilience du système
• Intégrité du code• Renforcement des services Windows• Contrôle de l’usage des périphériques• Mise à jour du système
• Fonctions réseaux• Pare-feu bidirectionnel / IPSec• Network Access Protection (NAP)
• User Account Control (UAC)
• Internet Explorer 7• Filtre Anti-phishing, mode protégé
• Démarrage sécurisé et chiffrement intégral de volume (BitLocker)
• Active Directory / Right Management Services
• Crypto Next Generation, Active Directory / Certificates Services
Amélioration de la résistance du système
par réduction de la surface et des
vecteurs potentiels d’attaques.
+Protection des
données et informations
Amélioration de la résistance du système
par réduction de la surface et des
vecteurs potentiels d’attaques.
+Protection des
données et informations
Protection des données avec BitLocker Drive Encryption
• BitLocker est un moyen de chiffrer intégralement un volume sous Windows Vista et Longhorn• L’objectif est de se protéger l’information contenue sur le
disque en cas de vol ou d’attaque « Offline »• Combiné avec l’utilisation d’un TPM (version 1.2c et plus)
• En complément du RODC, BitLocker aide à réduire la surface d’attaque des serveurs hébergés dans des locaux moins sécurisés que des centres de données
Crypto Next Generation (CNG)• Nouveau Framework Crypto (par rapport à Crypto API)
• Simplification du développement de fournisseurs de cryptographiques
• Capacité en mode noyau et utilisateur d’utiliser ses propres implémentations (y compris algorithmes propriétaires)
• Implémentation de façon native des algorithmes ECC (ECDSA, ECDH), SHA2 (Suite-B)
• CNG satisfait les exigences Critères Communs (EAL 4+) et FIPS (140-2 niv 2) pour l’isolation forte et l’audit• Et va être soumis pour certification auprès des organismes concernés
• CNG devient l’API cryptographique recommandée• Cryptographic Next Generation Software Development Kit for
Windows Vista• Complément du Software Development Kit for Windows Vista and .NET
Framework 3.0 Runtime Components
Active Directory Certificate Services• Consiste en 4 services (ou composants)
• Certification Authority• Certification Authority Web Enrollment (CAWE)• Online Certificate Status Protocol (OCSP)
• Nouveau service conforme à la RFC 2560
• Microsoft Simple Certificate Enrollment Protocol (MSCEP)• Add-on pour Certificate Services de
Windows Server 2003 R2
Principe de fonctionnement d’OCSP
Répondeur OCSPServeur avec certificat
Client OCSP
1 2Requête OCSP
3
Réponse OCSP
4
AD Right Management Services
• AD RMS v2 est une solution de gestion des droits d’utilisation et pas uniquement des droits d’accès offrant une protection contextuelle et persistante• Impose le chiffrement du contenu• Droits d’usage associés au contenu et pas au système de
fichiers offrant protection indépendante de l’emplacement physique de stockage
• Offre une protection pendant et après la publication
• AD RMS permet la définition de règles• Définition et application à l’échelle de l’entreprise• Suivi du cycle de vie de l’information
• Solution à valeur ajoutée• Support via développement de solutions/format tiers• Le format XPS facilite l’intégration avec les applications
existantes
Network Access Protection (NAP)• NAP est composé de composants clients et de
composants serveurs qui permettent de définir l’état de conformité logicielle et système souhaité pour les ordinateurs se connectant à un réseau d’entreprise
• NAP n’est pas conçu pour sécuriser un réseau vis à vis d’utilisateurs malveillants. Il a été conçu pour aider les administrateurs à maintenir la bonne santé des postes sur le réseau, ce qui permet ainsi d’assurer un meilleur niveau d’intégrité sur l’ensemble du réseau de l’entreprise
NAP - La surcouche santé des réseaux
• Validation vis à vis de la politique• Détermine si oui ou non les machines sont conformes
avec la politique de sécurité de l’entreprise. Les machines conformes sont dites “saines” (ou « en bonne santé »)
• Restriction réseau• Restreint l’accès au réseau selon l’état de santé des
machines
• Mise à niveau• Fournit les mises à jour nécessaires pour permettre à la
machine de devenir “saine”. Une fois “en bonne santé”, les restrictions réseau sont levées
• Maintien de la conformité• Les changements de la politique de sécurité de
l’entreprise ou de l’état de santé des machines peuvent
résulter dynamiquement en des restrictions réseau
Demande d’accès ?Voici mon nouveau status
Est ce que le client doit être restreint en fonction de son status?
En accord avec la politique, le client n’est pas à jour. Mise en quarantaine et demande au client de se mettre à jour
Puis je avoir accès ?Voici mon status actuel
En accord avec la politique, le client est à jourAccès autorisé
Architecture & principe général
Network PolicyServer
Client Network Access Device
(DHCP, VPN, 802.1xIPSec, passerelle TS)
Remediation Servers
(antivirus, système de maj de correctifs…)
Mise à jour du serveur Radius avec les
politiques en cours
Vous avez droit à un accès restreint tant que vous n’êtes pas à jour
Puis je avoir les mises à jour ?
Les voici
Réseau de l’entreprise
Réseau restreint (« quarantaine »)
Le Client obtient l’accès complet au réseau d’entreprise
System Health Servers
(défini les pré requis du client)
• Serveur(s) de politique• Policy Server
• Network Policy Server• Quarantine Server• System Health Validator
• Périphériques d’accès au réseau• Quarantine Enforcement Server
Serveur RADIUSNetwork Policy Server (NPS)
Serveur de quarantaine (QS)
Client
Agent de quarantaine (QA)
Stratégie de santéMises à jour
États de santé Demandes d’accès
au réseau
Serveur(s) depolitique
Serveur(s) deremèdes
Certificat de santé
Périphériques d’accès au réseau (DHCP, 802.1X, VPN, TS) &
Autorité d’enregistrement santé (HRA)Agents de santé (SHA)MS et tiers
System Health Validators(SHV) MS et tiers
Clients d’application (QEC)(DHCP, IPsec, 802.1X, VPN)
Composants de NAP
• Serveur de remèdes• Remediation Server
• Client• System Health Agent• Quarantine Agent• Quarantine Enforcement Client
SHAQA
QEC
RSPS
SHVQS
QES
Mécanismes de restrictions d’accès• DHCP
• Le serveur DHCP contrôle l’accès en définissant les routes et les paramètres IP du client DHCP
• Nécessite une mise à jour du serveur DHCP (Windows Server 2008 ou solution partenaire NAP)
• 802.1x• Ports contrôlés vs ports non contrôlés• Quarantaine par mise en place de filtres IP ou par affectation à un
VLAN• VPN
• Les serveurs VPN contrôlent l’accès en appliquant des filtres IP• Nécessite une authentification basée sur PEAP
• IPSec• Mécanisme d’isolation au niveau hôte• Si vous utilisez déjà IPSec pour l’isolation de domaine ou de
serveurs
Partenaires NAP
Haute disponibilité
Sécurité
Objectifs
• Aider l’administrateur lors de l’installation d’un cluster de ressources
• Rationnaliser l’outil d’administration
• Étendre les scénarios d’usage
Failover Clustering (WSFC)• Améliorations dans l’installation, l’administration
et la migration• Assistant de validation (nœud, réseau, stockage)• Assistant de création du cluster• Nouvelle console d’administration• Administration améliorée au travers de WMI
• Sécurité• Le service cluster n’utilise plus de compte de service mais
le compte LocalSystem
• Stabilité• Nouveau modèle de quorum• Support des disques GPT (taille > 2 To)
Validation de la configuration
Installation cluster
Cluster Administrator aujourd’hui…i…
Nouvelle console MMC
A retenir sur le cluster (WSFC)
• Jusqu’à 16 nœuds sur un serveur x64 !!!!• Validation du Cluster : nœuds, disques et réseau
• Installation : Simplifier, valider et déployer
• Outils d’administration : Console MMC, ligne de commande cluster.exe, WMI, support des clichés instantanés
• Réseau : Support IPv6, DHCP pour IPv4, plus de dépendance NetBIOS
• Outil de migration de MSCS 2003 vers WSFC• Modèle de sécurité : Plus de compte de service cluster
• Modèle de Quorum : Eliminer le SPOF
• Géo-Cluster : battement de cœur (heartbeat) sur UDP et configurable, nœuds sur des segments réseau différents
• Stockage : Fiber channel, iSCSI, SAS (Serial Attached SCSI), mode de maintenance
• Renforcement de Renforcement de l’OSl’OS
• Réduction de la Réduction de la surface d’expositionsurface d’exposition
• Contrôle d’accèsContrôle d’accès• ChiffrementChiffrement
• Déploiement et Déploiement et administrationadministration
• Installation et Installation et supervision par supervision par types types d’utilisation d’utilisation (“rôles”)(“rôles”)
ContrôleContrôle ProtectionProtection
FlexibilitéFlexibilité
VirtualisationVirtualisationAccès à distance aux Accès à distance aux
applicationsapplicationsInfrastructure WebInfrastructure Web
Déploiement accéléréDéploiement accéléré
Pour résumer: Windows Server 2008 en 3 points
2ème semestre
2006
Sept 2005 avril 2007Fonctionnalités
complètes H1 2008
Feuille de route
Dis
poni
bilit
é
Ressources utilesBlog :
http://blogs.technet.com/longhorn
