10 raisons de passer à Longhorn Server
2.Sécurité renforcée
2.1 Renforcement de la sécurité interne: Nouveau Noyau NT 6.0 !
Objectif : Défense en profondeur ! !
D’importantes modifications ont été opérées pour les noyaux de Windows Longhorn et de Windows VISTA, les noyaux de ces deux systèmes partagent en effet une partie importante de leurs codes. Le nouveau noyau passe ainsi à la version 6.0 et des améliorations spécifiques au serveur ont même été apportées.
Comme base de ces améliorations, le cycle de vie du développement sécurisé, appelé SDL (Security Development Lifecycle). Ce principe favorise la segmentation en couche de la structure générale d'un logiciel, le but étant de réduire la surface d'attaque par la création d’une multitude de petits composants mieux maitrisé au lieu d’une application unique dont il est plus difficile de maitriser tous les aspects.
Principe du moindre privilège:
L'un des résultats les plus visibles pour l'utilisateur est le principe du moindre privilège.
Le principe du moindre privilège se matérialise avec l’UAC (User Account Controle). Ainsi chaque utilisateur de la machine y compris les membres du groupe administrateur fonctionne avec un nombre très restreint de privilèges. Dès qu'une action nécessite un privilège important, une fenêtre sera affichée vous invitant dans le cas d’un compte administrateur à valider votre action ou dans le cas d’un utilisateur à entrer les informations d’un compte ayant les privilèges nécessaires. Cela se rapproche donc fortement de la philosophie des systèmes Unix.
A noter qu'il est possible de désactiver l'UAC via le panneau de configuration et que tout ceci est configurable à l'aide de stratégie de groupe (GPO).
Vue simplifiée des couches du noyau (SDL)
Les composants du système d’exploitation sont donc organisés en couches.La couche supérieure peut dépendre des services de la couche inferieur tandis que les couches inferieurs ne sont pas autorisées à dépendre des couches supérieures.Les applications sont bien plus robustes et nécessiteront en conséquence moins de correctif de sécurité (résultats prouvés par les dernières études réalisés par Microsoft).
Je vous invite à consulter ce lien pour un complément d'information :http://www.microsoft.com/france/technet/securite/sdl.mspx
Vue simplifié des couches permettant d'offrir plusieurs niveaux de sécurité
Segmentation des services
Au centre du système se trouve le noyau (Kernel), on y trouve une partie des pilotes (drivers). La couche de premier niveau est celle des services, suivi de la couche administrateur et utilisateur (sachant que des pilotes peuvent aussi s’exécuter à ce niveau).
La réduction de la surface d'attaque permet d'améliorer très nettement la sécurité d'un serveur. Le principe est simple, moins il y a de service plus je réduis le code exposé aux attaques et par conséquent les risques associés.
Un service est une application qui tourne à un niveau très proche du noyau avec des privilèges importants. Tout comme une application standard, un service s’exécute à l’aide d’un compte au quel on associe les autorisations qui sont nécessaires. Lorsqu’un service est attaqué, l’objectif est de récupérer les droits associés à ce service (droits qui sont souvent élevés) et les utiliser à des fins malicieuses.
Dans Longhorn, l’utilisation des comptes de service a été revue afin que le minimum d’autorisations leur soit associé.
|
Windows XP SP2 / Server 2003 R2
|
Windows Vista /
Windows Server “Longhorn”
|
|
Account
|
Services
|
Account
|
Services
|
|
LocalSystem
|
WirelessConfiguration
System Event Notification
Network Connection, (netman)
COM+ Event System
NLA
Rasauto
Shell Hardware Detection
Themes
Telephony
Windows Audio
Error Reporting
Workstation
ICS
|
RemoteAccess
DHCP Client
W32time
Rasman
browser
6to4
Help and support
Task scheduler
TrkWks
Cryptographic Services
Removable Storage
WMI Perf Adapter
Automatic updates
WMI
App Management
Secondary Logon
BITS
|
LocalSystem
Firewall Restricted
|
WMI Perf Adapter
Automatic updates
Secondary Logon
|
App Management
Wireless Configuration
|
|
LocalSystem
|
BITS
Themes
Rasman
TrkWks
Error Reporting
|
6to4 Task scheduler
RemoteAccess
Rasauto
WMI
|
|
Network ServiceFully Restricted
|
DNS Client
ICS
DHCP Client
|
browser
Server
W32time
|
|
Network Service
Network Restricted
|
Cryptographic Services
Telephony
|
PolicyAgent
Nlasvc
|
|
Network Service
|
DNS Client
|
Local Service
No Network Access
|
System Event Notification
Network Connections
Shell Hardware Detection
|
COM+ Event System
|
|
Local Service
|
SSDP
WebClient
TCP/IP NetBIOS helper
Remote registry
|
Local Service
Fully Restricted
|
Windows Audio
TCP/IP NetBIOS helper
WebClient
SSDP
|
Event Log
Workstation
Remote registry
|
Tableau récapitulatif des changements
Le résultat direct permet lors de la perte d'intégrité d'un compte de service de ne pas compromettre l'ensemble des services comme c'était le cas sur Windows XP/Serveur 2003.
Contexte d'exécutions limitées des programmes !
Un grand nombre d'attaques provient du fait qu'une application peut prendre la main sur une autre et se servir de ses accès élevés dans des buts malveillants. Pour combattre cette situation, Longhorn comme Vista gère ses niveaux de privilège de manière indépendante.
Grâce au contrôle d'intégrité obligatoire (MIC) et de cette succession de couches, chaque application lancée dans sa couche d'intégrité ne peut pas envoyer d'information à un applicatif de privilège supérieur.
Ce contrôle d'intégrité permet notamment de protéger le système des attaques de type injection de DLL etc... Cependant, cette vérification ne concerne que les écritures ascendantes en terme de privilèges, cela ne bloque en aucun cas les tentatives de lecture ascendante, ce risque de sécurité en terme de confidentialité doit donc toujours être pris en compte.
Dans le même souci de sécurité, deux objets graphiques ne pourront communiquer que s'ils disposent du même niveau de privilège. Afin de ne pas bloquer le fonctionnement applicatif, les nouveaux logiciels Microsoft sous Vista sont développés en deux modules, le premier qui s'exécute avec un haut niveau de privilège, et un second, de moindre privilège qui gère les aspects graphiques et interface avec l'utilisateur.
Par exemple, sous Vista ou Longhorn, Internet Explorer 7 possède un mode protégé (activé par défaut) qui permet son exécution sous deux process, le process de bas niveau ieuser.exe de privilège élevé, et iexplorer.exe de moindre privilège, qui gère l'affichage graphique.
Contexte d'exécution des applications restreint
Avec l'introduction de ce noyau Microsoft a révisé le contexte d'exécution des principaux services nécessaires au bon fonctionnement du système. L'introduction de ces technologies permet de limiter de manière significative l'utilisation permanente des privilèges administrateur.
Cette réorganisation du processus de communication entre application et system ne permet malheureusement pas d'assurer une compatibilité avec l'ensemble des logiciels existants (tous les logiciels qui ne possèdent pas le petit logo "design for Windows xp"), mais la virtualisation des répertoires corrige ce petit problème, permettant ainsi une avancée importante de la sécurité.
2.2 Serveur de base (Server Core)
Principes et objectifs
Actuellement, Windows Server est couramment déployé pour la mise en place de fonctionnalités simples telles que serveur DHCP, serveur DNS, serveur de fichiers, …
Même pour le déploiement de ces services très basiques, le système intègre un nombre important de composants plus ou moins utiles qui sont autant de possibilités pour un utilisateur malveillant de pénétrer le système. Il faut donc dans tous les cas mettre en place une politique de sécurité stricte.
Habituellement les serveurs sont sécurisés de la manière suivante :
- Réduire au strict nécessaire le nombre de services démarrés sur vos serveurs à l'aide de stratégies de groupe incluant un modèle de sécurité adapté (activation et désactivation de services..).
- Installation des dernières mises à jour et correctifs de sécurité.
- Limitation physique de l'accès aux serveurs (salles à accès sécurisés et protégés contre les sinistres).
- Implémentation de la sécurité des accès sans fils (DMZ, pare-feu, filtrage, chiffrement...).
- Application du principe du "moindre privilège", en attribuant aux utilisateurs des services d'infrastructures uniquement les droits nécessaires au bon déroulement de leurs tâches.
- Formation et information de toutes les personnes utilisant le système informatique aux bonnes pratiques en matière de sécurité.
- Autoformation et veille technologique à l’aide des sites dédiés, consultation des derniers bulletins de sécurité de Microsoft, etc...
Demain avec "Longhorn", Microsoft a souhaité enfoncer d'avantage le clou de la sécurité ! Ainsi, les administrateurs auront désormais le choix entre deux types d'installation et ceci quelque soit l'édition de ce dernier (Standard, Enterprise et Datacenter ; X86 ou X64).
- La première que je ne développerai pas est des plus "classique" que tout le monde connait bien,
- La seconde, appelée "Core" ou "debase", installe uniquement les services nécessaires au démarrage de la machine, aucun superflue ! Dès l'installation du système le changement le plus visible est certainement l'absence de la traditionnelle interface graphique (GUI/Explorer Shell).
Windows Longhorn Server Core
Ses caractéristiques
Le premier atout visible de cette installation est l’économie de ressource. L’installation ne prend qu’un peu plus d’1Go sur le disque dur et le nombre de process tournant sur la machine est fortement diminué ce qui diminue la mémoire utilisée.
Une installation de type "Core", ne permet de mettre en place qu’un nombre limité de services. Seuls les rôles d'infrastructure listés ci dessous pourront être installés:
- Serveur DHCP: Permet de délivrer automatiquement une configuration TCP/IP pendant une période donnée (bail)
- Serveur DNS: Permet la résolution des noms d'hôtes en adresse IP et inversement, ainsi que la localisation de service d'infrastructure et de messagerie.
- Serveur de fichiers: Mise à disposition de point de stockage de donnée en toute sécurité (Autorisation NTFS)
- Contrôleur de domaine: Hébergement de la base d'annuaire Active Directory. Permet de créer/consolider un domaine.
- Serveur WINS: Ce service permet la résolution des noms NetBIOS via une base centralisée.
Il n’est donc pas possible d’héberger des applications (IIS, Exchange server, SQL server, System management Server etc...).
Concernant les fonctionnalités (features) voici celles qui pourront être installées :
- Failover Clustering
- NLB
- Subsystem for UNIX-based applications
- Backup
- Multipath IO
- Removable Storage Management
- Bitlocker Drive Encryption
- SNMP
- Telnet Client
La maintenance sera également simplifiée, car votre serveur comportera moins d'élément, services et processus à gérer. Ainsi plus besoin d'installer de correctif sur des vulnérabilités inexistantes !
Au final, Réduction de la surface d'attaque, de la maintenance et de la gestion. Bonne nouvelle un article dédié à cette nouveauté sera publié prochainement !
2.3 Faillover Clustering
Les mots d'ordres des nouveautés de l'implémentation d'un cluster sous Longhorn peuvent être présentés comme les trois S !
- La simplicité : Il ne sera plus nécessaire d’être titulaire d’un doctorat en informatique pour pouvoir mettre en place un cluster dans de bonnes conditions. Ainsi toute la phase d’installation a été rationalisée afin d’être plus logique et plus simple. Un assistant vous permet de créer un cluster entier de bout en bout. De plus, une fois le cluster mis en place, c’est face à une nouvelle console beaucoup plus intuitive que l’on pour administrer notre cluster.
- La sécurité : C'est l’un des axes d’évolution principal de Longhorn Server. Une meilleure gestion des comptes de service à été mise en place afin d’éviter d’utiliser un compte de service cluster. C’est donc le compte intégré Local System qui permettra aux services de Clustering de se lancer.
- La stabilité : Elle a été améliorée afin d’obtenir une fiabilité et des performances accrues. Le service de Clustering bénéficiera d’une refonte de la gestion du quorum qui était pour l’instant le seul point de cassure du système.
L’autre thème d’amélioration du service de Clustering concerne les géo-cluster. Dans ce cas, les nœuds du cluster ne sont plus dans l’obligation de se trouver dans le même sous réseau et pour les clusters très éloignés, il sera même possible de faire varier le temps mis pour déterminer que le partenaire est en panne (Heartbeat Timeouts).
2.4 Network Acess Protection (NAP)
De nos jours, la mobilité introduit une nouvelle brèche dans la sécurité, l'utilisation des ordinateurs portables sur des réseaux étrangers non fiables (réseaux domestiques, publics, etc.…) mène à la libération de vers, cheval de troyes ou virus à l’intérieur même du réseau de l’entreprise.
Il ne suffit plus d’être équipé de pare-feu de dernière génération à filtrage applicatif ou d’anti-virus dernier cri sur le système de messagerie pour être protégé.
Network Access Protection (NAP) est une technologie qui sera introduite avec les systèmes client/serveur Windows Vista et Windows Server "Longhorn". Depuis quelques temps déjà, on entend parler de cette technologie très prometteuse développé en commun par tous les géants de l'industrie informatique.
Le principe de fonctionnement est le suivant, dans un premier temps on définit un bulletin de santé nécessaire à l'accès au réseau de l'entreprise. Dans ce bulletin, vous allez configurer des paramètres de sécurités du type : présence de mise à jour de sécurité, définition viral de l’anti virus, présence d’un anti spyware, activation du par feu, etc... Suite à ce bulletin, si vos clients ne valident pas cet état de santé, ils seront redirigés vers un réseau dédié à l'application de ces paramètres. L’accès aux ressources de l’entreprise ne sera autorisé qu'une fois ces critères remplis.