2. Windows Vista et le réseau
C'est à partir de cette nouvelle interface de gestion du réseau, Network Center, que vous allez dorénavant pouvoir interagir avec vos différentes connexions réseaux! Mais voyons de plus près les avancées technologiques apportée par Windows Vista en terme de gestion du réseau et de la sécurité...
2.1. Une nouvelle sous couche système réseau
2.1.1. Présentation du modèle
Avec son nouveau système d'exploitation, Microsoft a totalement repensé la gestion des réseaux. En effet, les besoins en terme de sécurité, de stabilité et d'évolutivité ont amené la firme à recoder intégralement la sous couche réseau de son système d'exploitation Windows. Microsoft a alors mis en place la technologie Receive-Side Scaling qui permet de partager la charge réseau entre plusieurs processeurs! En outre, plusieurs mécanismes destinés à déléguer des tâches, exécutées jusque là par le processeur, ont été implémentés. Par contre, toutes les cartes réseaux ne sont pas compatibles mais les cartes réseaux récentes permettent leurs utilisations!
- Les traitements TCP et IP sont délégués aux processeurs des cartes réseaux grâce à TCP Chimney
- Les échanges de données entre deux ordinateurs se font sans utilisation CPU avec RDMA Chimney
- Le cryptage IPSec n'est plus consommateur de temps processeur et est exécuté directement par la carte réseau avec IPSec Chimney
Mais l 'un des avantages principaux de cette nouvelle sous couche réseau est son évolutivité: elle pourra implémenter, sans trop de difficultés, les futurs protocoles.
2.1.2. Nouveau drivers réseau et périphériques réseaux
Ces nouveaux modules ont été étudiés pour rendre beaucoup plus simple le développement des drivers, en implémentant en plus la version 6 de Network Driver Interface Specification (NDIS). De ce fait, un nouveau modèle de driver réseau fait son apparition: LWF (Leigth Weight Filter) qui permet d'améliorer la stabilité des connexions. En effet, si un utilisateur met à jour ses drivers réseaux (par le biais de Windows Update ou autre...), les connexions ne seront pas perdues pour autant!
En outre, les connexions WIFI, qui étaient jusqu'à Windows XP, gérées comme des connexions réseaux filaires, ont été totalement revues et corrigées. En effet, l'ancienne méthode avait pour effet de limiter les possibilités d'évolution de cette technologie. Maintenant, les réseaux filaires et les réseaux sans fils sont totalement séparés ce qui a permis d'implémenter de façon plus complète la norme 802.11, qui définit les réseaux sans fil. Ainsi, de toutes nouvelles possibilités de gestion sont offertes aux connexions WIFI.
Afin de faciliter les connexions de périphériques sans fils, de nouveaux protocoles voient leurs apparitions : PnP-X, UPNP et DPWS. Ils ont pour but de détecter les périphériques réseaux et de les connecter plus facilement. PnP-X utilise les deux autres protocoles pour installer les périphériques réseaux, à l'instar du service Plug & Play pour les périphériques physiquement connectés. Ces protocoles sont utilisés par un ensemble de composants nommés Windows Connect Now dont l'implémentation joue un rôle important dans la convivialité de Windows Vista, qui se veut être un système d'exploitation "over connected ".
Comme vous pouvez le voir, les différents périphériques réseaux peuvent être représentés afin de pouvoir déterminer leur état. Il est aussi possible de récupérer des informations sur les divers composants, comme l'adresse MAC et IP, le modèle, le fabricant et leurs sites respectifs... Mais il est aussi possible de se connecter en HTTP, pour une maintenance ou autre, aux différents périphériques en un simple clic!
2.1.3. IP v6 par défaut:
Windows Vista intègre dorénavant la gestion d'IP version 6 dans la même pile TCP que celle de la version 4. L'avantage réside dans le fait qu'il sera possible de gérer de la même façon tous les paquets IP, indifféremment de leurs versions! En effet, il est aussi possible d'utiliser IP v6 sur windows XP et Server 2003 mais deux piles sont utilisée: l'implémentation en est que plus compliquée.
Afin de mieux comprendre l'enjeu, il peut être bon de rappeler les avantages d'IP v6:
- Les adresses IP sont codées sur 128 bits au lieux de 32, ce qui permet de se passer des routeurs NAT, en augmentant considérablement le nombre d'adresse disponibles (2^128 adresses!)
- Le routage est amélioré car les échanges entres les routeurs sont plus rapides et les tables de routage sont plus courtes.
- Le cryptage IPSec est implémenté par défaut, permettant ainsi d'authentifier et de crypter les connexions IP
- IP v6 permet aussi une évolution future et est compatible avec IP v4!
Les connexions à internet seront alors plus faciles et plus sécurisées. Ainsi le nombre de périphériques connectés pourra augmenter en toute tranquillité et IP v6 supportera alors l'arrivée massive des périphériques WIFI tel que les PDA, smartphone, appareils photos et autres... Il faut quand même signaler que le protocole est défini dans son intégralité depuis plus de 10 ans et que son implémentation se faisait attendre.
En plus du support natif d'IP v6, la notion de QoS a été revue à la hausse sur Windows Vista et les possibilités de configurations ont été nettement améliorées. Si vous souhaitez en savoir plus, je vous renvoie vers ce White Paper de Microsoft sur le sujet.
2.1.4. Network Diagnostics Framework (NDF)
Afin de faciliter la maintenance des connexions réseaux, Windows Vista introduit un nouveau framework de diagnostique réseau. En effet, bon nombre d'utilisateurs sont incapables de réparer eux-même leurs connexions réseaux. Ainsi, afin de limiter les demandes d'aide à un administrateur ou un autre utilisateur plus qualifié (ce qui peut prendre du temps), le système d'exploitation propose interactivement de comprendre quel est le problème et quelle solution y apporter.
De cette façon, si vous essayez d'accéder à un partage par son chemin UNC ( \\NomServeur\partage\ ) et que celui-ci est inaccessible, Windows Vista propose de trouver la solution pour vous. Alors le système va faire une série de tests qui va aboutir à une ou plusieurs propositions de solution ou alors à une explication! L'utilisateur se sent donc valorisé, il peux lui même corriger ses problèmes ou alors il possède l'explication de l'impossibilité de connexion. Il est ainsi possible de gagner beaucoup de temps administrateur, temps qui pourra être investi dans d'autres tâches plus productives.
2.2. Windows Filtering Platform (WFP)
2.2.1. Filtrage entièrement repensé
Avec Windows XP est apparu la notion de Firewall Windows. Celui-ci a été mis à jour avec le SP2, il comprend une interface d'administration plus complète et des fonctionnalités plus étendues. Mais Windows Vista, grâce à l'API Windows Filtering Platform, met en oeuvre un vrai firewall: il est maintenant capable de faire du filtrage entrant et sortant. Par défaut, les connexions sortantes sont acceptées sauf exception et les connexions entrantes sont bloquées sauf exception. Deux profils peuvent être gérés: Domain Profile et Standard Profile. Mais, seul un profil peut être actif à la fois, en fonction de l'environnement de la machine.
Pour chaque profil:
- Il est possible de créer un fichier de log pour enregistrer les connexions établies et/ou les paquets supprimés: celui-ci est par défaut stocké dans le répertoire %windir%\pfirewall.log.
- Quatres paramètres peuvent être configurés:
- Autoriser les administrateurs locaux à faire des exceptions
- Autoriser les administrateurs locaux à faire des règles de sécurité de connexion de l'ordinateur
- Avertir l'utilisateur lorsqu'une connexion entrante est refusée (par défaut)
- Autoriser les réponse unicast à des requêtes en diffusion ou en multi-diffusion (par défaut)
- Enfin, l'administrateur peut configurer la gestion d'IPSec pour la sécurisation des connexions:
- Échange des clés: Plusieurs méthodes peuvent être gérées mais une durée de vie commune par défaut (en minute et en session) est appliquée pour la fréquence d'actualisation des clés. Pour chaque méthode, vous pouvez choisir entre plusieurs possibilités pour ces trois paramètres:
- l'algorythme de cryptage: AES-256, AES-192, AES-128 (par défaut), 3DES, DES (du plus sécurisé au moins sécurisé)
- l'algoryhtme d'échange de clés: Elliptic Curve Diffie-Hellman P-384, Elliptic Curve Diffie-Hellman P-256, Diffie-Hellman groupe 14, Diffie-Hellman groupe 2 (par défaut), Diffie-Hellman groupe 1 (du plus sécurisé au moins sécurisé)
- l'algorythme d'intégrité: SHA-1 (par défaut) ou MD5
- Protection des données: Il est en effet aussi possible de choisir les protocoles de cryptage et d'intégrité qui peuvent être différent de ceux choisis précédemment. De cette façon, vous pouvez avoir des méthodes différentes et personnalisables entre les établissements de connexion et les échanges proprement dits de données. Vous pouvez choisir un méthode plus sécurisée pour les établissements de connexion (qui n'ont lieu qu'une fois et qui peuvent contenir des informations critiques: login/mots de passe!) et choisir une méthode moins sécurisée mais surtout moins consommatrice de ressources pour les échanges de donnée.
- Méthode d'authentification: En ce qui concerne l'authentification vous avez plusieurs choix
- Par défaut
- Utilisateur : utilise Kerberos
- Ordinateur : utilise Kerberos
- Utilisateur et Ordinateur : utilise Kerberos
- Certificat d'origine connue
- Custom: Deux authentification sont possibles: l'ordinateur et l'utilisateur! L'authenfication de l'ordinateur peut être défini comme optionnel mais sinon vous pouvez choisir si l'authentification se fait par clé pré-partagée (déconseillé) ou par certificats. Si vous choisissez l'authentification par clé pré-partagée pour l'ordinateur vous ne pouvez plus choisir cette possibilité pour l'utilisateur (et vice et versa). Pour authentifier l'utilisateur, vous avez le choix entre Kerberos, NTLM (boite de dialogue) ou avec des certificats.
Avec cette nouvelle mouture de son firewall, Microsoft fait un pas de géant et les autres logiciels firewalls ont du souci à se faire. À l'utilisation, celui-ci est très souple à gérer tous en fournissant un niveau de sécurité évolutif et paramètrable. Les protocoles implémentés sont de très haute qualité et reconnu par toutes les professionnels de la sécurité! De plus IPSec fait l'office d'une implémentation complète dans le système, ce qui ne pourra que faire du bien à la sécurité des échanges dans les réseaux d'entreprise.
2.2.2. Ajout/suppression de nouvelles règles
Afin de rendre ce firewall digne d'intérêt, les administrateurs peuvent voir les règles actives, activer ou désactiver certaines règles défini par défaut et s'ils en ont les droits, créer des règles personnelles. De plus, il est possible d'importer et d'exporter les règles afin de simplifier le déploiement de celles-ci! Mais attardons nous un instant sur la création de règles.
En développant Windows Firewall with Advanced Security et en cliquant sur les exceptions entrantes ou sortantes, vous avez la possibilité dans le menu Action à droite de créer des exceptions ! Ce menu de droite est un bénéfice non négligeable de l'implémentation de MMC version 3.0. En cliquant sur New Exception..., un assistant se lance pour vous guider dans la création de votre nouvelle règle.
Quatres types d'exceptions sont au choix:
- Programme: appliquer des paramètres de gestion de connexion associés à un programme au choix. Il faudra alors choisir un programme ou tous les programmes; puis choisir d'accepter toutes les connexions, seul les connexions sécurisés ou aucunes connexions; choisir le profile pour lequel la règle sera appliquée et enfin nommer et décrire la règle.
- Port: appliquer des paramètres sur un port, quelque soit le processus qui souhaite l'utiliser. Dans ce cas, il faudra choisir entre le protocole TCP ou UDP puis le ou les ports voire tous les ports; ensuite les étapes sont identiques aux exceptions de programmes
- Prédéfinie: Règles types définie par les développeurs de Microsoft. Cinq propositions sont faites, il ne reste plus qu'à les nommer et les décrire:
- Assistance à distance
- Partage de fichiers et d'imprimantes
- Bureau à distance
- Framework UPnP
- Echo Request ICMP (v4)
- Custom : il ne reste plus qu'à donner un nom et une description, ensuite toutes les configurations se font dans les propriétés de la règle!
Dans tous les cas, vous avez la possibilité de vérifier les propriétés des règles, que vous avez créées ou qui existent par défaut:
2.3. Partage de Fichiers et d'Imprimante
Le partage de fichier est devenu pour de nombreuses personnes une action oubliée car bien trop compliquée! En effet, il est facile de se perdre dans la commutation des droits de partage et les droits NTFS, de plus il est impératif de bien comprendre la différence entre les deux... Pour cela Windows Vista propose une nouvelle interface beaucoup plus conviviale et plus simple pour les utilisateurs:
En partageant un dossier avec le menu contextuel (clic droit), cet assistant se lance. La présentation a été épurée au maximum pour ne contenir que le minimum nécessaire, c'est à dire la liste des personnes autorisées, une fonction d'ajout et de l'aide! De cette façon, le partage se fait en quelques clics et le quotidien des utilisateurs est révolutionné. Pour ce qui est de la gestion des droits, 4 niveaux de permissions existent :
- Owner (propriétaire): C'est l'utilisateur à qui appartient le dossier et qui configure le partage.
- Reader: les lecteurs sont tous les utilisateurs auxquels vous souhaitez donner des droits en lecture seule.
- Contributor: Le contributeur aura quant à lui des droits de modification des fichiers
- Co-owner: Le copropriétaire lui, aura aussi les droits de modifications mais ceux de gestion des permissions en plus
Pour les autres, il est toujours possible, en regardant les propriétés d'un dossier, de le partager comme avant! La console gestion de l'ordinateur et son extension partage permet elle encore de gérer les partages de façon centralisée. Mais une possibilité apparaît depuis le Network Center et le Panneau de Configuration :
En effet dans la barre d'action du Network center, il y a un lien vers Files and Printers Sharing, un nouveau composant du panneau de configuration. Depuis ce dernier, il faut se diriger dans la partie Network and Internet ou alors entrer dans l'affichage classique. Avec ce nouveau composant, il est possible de gérer le comportement par défaut du système pour la gestion des partages de dossiers et d'imprimantes. De cette façon, vous pouvez configurer:
- la méthode d'authentification: par un couple de login/mots de passes comparé aux autorisations sur les partages ou alors sans, c'est a dire ouvert à toutes les personnes sur le même réseau. Cette dernière méthode est moins contraignante que la première, mais elle est à utiliser avec parcimonie car très peu sécurisée!
- Le partage des imprimantes: il est enfin possible de ne pas partager uniquement ses imprimantes. En effet, cette action n'était pas possible avec Windows XP: le partage des imprimantes était confondu avec le partage des dossiers. Vous pouvez maintenant choisir de ne partager que vos imprimantes ou au contraire partager uniquement vos dossiers!
- Le partage des dossiers partagées: ainsi, vous pouvez choisir de mettre à disposition, ou pas, les dossiers partagées de votre ordinateur. Du même coup, vous avec la possibilité en un clic de donner des droits de lecture ou d'écriture dans ces dossiers.
- L'autorisation de partager: en effet, vous avez aussi la possibilité ici de donner l'opportunité aux utilisateurs de partager des dossiers ou des imprimantes (autres que ceux définis par les administrateurs), ou a contrario, leur empêcher ces actions, pour des raisons de sécurité ou de confidentialité par exemple.
Ainsi, Windows Vista a été repensé pour mieux regrouper les informations aux bons endroits, tous en améliorant la disponibilité de ces dites informations. À l'instar des partages, toute la navigation a été revue et corrigée pour rendre cette nouvelle version du système d'exploitation Windows beaucoup plus conviviale et accessible.
2.4. Gestion des imprimantes
Maintenant que nous avons vu comment s'opèrent les partages de dossier, nous allons voir un peu plus en détails la gestion des imprimantes partagées. Depuis Windows server 2003 R2, une nouvelle console d'administration a fait son apparition, Print Management. C'est alors tous naturellement que cette console se retrouve sur Windows Vista, les postes de travail vont alors de transformer en véritables petits serveurs: en effet, Print Management permet d'optimiser la gestions des imprimantes en mettant en place un vrai service de partage d'imprimante, fini les imprimantes isolées derrière un poste de travail!
En effet, cette console permet enfin de pouvoir gérer les
imprimantes de façon centralisée et efficace! Combien d'administrateurs se sont
déjà cassés les dents à l'idée de vouloir gérer l'intégralité des imprimantes
partagées de leur entreprise! Nous n'allons pas trop nous étendre sur cette
console étant donné qu'un article complet sur le sujet a déjà été rédigé par
Joachim Gomard. Bien sûr, l'article parle de la gestion des imprimantes avec Windows Server 2003 R2 mais le principe est exactement le même sur Windows Vista et les deux se complètent.
 Introduction
1. Windows Vista et le Welcome Center
1.1 Add or remove user accounts
1.2 Transfert files and settings
1.3 View your computer details
1.4 Set up devices
2. Windows Vista et le réseau
2.1 Une nouvelle sous couche système réseau
2.2 Windows Filtering Platform (WFP)
2.3 Partage de Fichiers et d'Imprimante
2.4 Gestion des imprimantes
3. Gestion du système Windows Vista
3.1 Performance Rating and tool
3.2 Windows Defender
3.3 Surveillance de l'ordinateur
4. La sécurité et Windows Vista
4.1 NAP: Network Access Protection
4.2 InfoCard
4.3 Bitlocker Drive Encryption
Conclusion
|
|
 |
 Pour afficher ou poster un commentaire, cliquez sur ce lien : Forum-Microsoft
|
|
Les nouveautés de Windows Vista build 5308 (Ex longhorn)
