FLASH INFORMATIQUE FI



Vista - tarata-ta - est là !




Christian RAEMY

Alain GREMAUD

Thierry CHARLES


Introduction

Maintes fois annoncé, puis retardé, le nouvel opus du système d’exploitation Workstation de Microsoft est maintenant disponible. De la kyrielle de versions disponibles, nous avons choisi de distribuer une des plus complètes, la Vista Enterprise, pour plus d’info.

Vista et la sécurité

Selon Microsoft, Windows Vista est une citadelle inviolable et ils nous promettent enfin LE système d’exploitation sécurisé que tout le monde attend... Oui, bon... Sans succomber aux sirènes ni renier le travail effectué, on peut néanmoins espérer que ce nouveau système va permettre d’être encore mieux protégé des menaces actuelles. Voici un bref éventail des nouveautés de Vista en ce qui concerne la sécurité.

User Account Control (UAC)

Ce module limite volontairement les droits utilisateur pour que durant des activités sensibles comme la navigation sur Internet, le visionnage de film, l’envoi d’e-mail ou l’utilisation de programmes courants, ces droits soient réduits à ceux d’un utilisateur simple. Ce n’est que lorsqu’il faut vraiment des droits élevés pour une installation ou des modifications de paramètres par exemple, que Vista vous demandera de confirmer l’action pour octroyer l’accès administrateur au processus. Le but de ce module est donc de ne pas permettre à un virus ou autre d’obtenir les droits de l’utilisateur connecté et ainsi, la plupart du temps, les droits élevés d’administrateur local.

Le revers de la médaille est que ce module risque, en affichant trop souvent des demandes d’autorisation d’élévation de droits, de banaliser ces messages et d’habituer l’utilisateur à cliquer sans même lire ou se poser de question. En outre, il ne protégera pas dans le cas d’une faille majeure dans un module Vista, donnant ainsi tout accès à un vers pour s’introduire dans la machine. Il faut donc se réjouir de cette élévation du niveau de sécurité de base en restant toutefois prudent et bien au courant de ses actes...

Microsoft Update et Security Center

Le Security Center, apparu déjà dans Windows XP SP1, reconnaît maintenant bien plus de produits tiers de sécurité et informe l’utilisateur de toute menace ou mise à jour critique. La partie mise à jour, quant à elle, offre un niveau complet par défaut, incluant les updates des autres produits Microsoft installés.

Attention toutefois à ne pas oublier la mise à jour des produits installés d’autres éditeurs, également vulnérables périodiquement.

Microsoft Firewall

Le pare-feu intégré offre enfin des fonctionnalités et un niveau de paramétrage bien supérieurs à son ancêtre apparu sur Windows XP SP2. Il gère en outre plusieurs configurations selon que l’on se trouve connecté à un domaine, sur un lieu public ou à la maison. En apparence, les changements sont pratiquement invisibles, mais il suffit de lancer la console d’administration en mode étendu pour se retrouver en face d’une interface très complète offrant des possibilités de configurations très pointues.

Il reste malheureusement un peu faible en ce qui concerne le log des actions autorisées et bloquées.

Windows Defender

L’antispyware de Microsoft est maintenant inclus par défaut et il se met à jour mensuellement. Il permet de lancer à la demande ou de manière programmée des analyses de la machine et de nettoyer celle-ci des spywares qui s’y trouveraient.

Si on peut saluer l’initiative, on ne peut s’empêcher de déplorer que Windows Defender ne protège pas en temps réel, mais seulement après une éventuelle infection. En outre, dans le monde des spywares, aucun produit seul n’offre de protection complètement efficace. Seule l’action combinée avec McAfee VirusScan 8.5 garantit un haut niveau de protection contre les spywares.

Windows BitLocker(tm) Drive Encryption

Cette option de sécurité permet, moyennant la présence d’un module hardware TPM dans la machine, l’encryption complète du disque dur, rendant impossible la lecture de celui-ci en cas de vol. Cette option est particulièrement utile dans le cas de l’utilisation d’un portable contenant des données sensibles.

Shadow Copy

Ce service, apparu sur Windows Server 2003, également disponible au travers des disques réseau NAS, est maintenant actif sur les disques locaux d’une machine Vista. Il est donc possible, grâce à ce mécanisme de récupérer une version antérieure de n’importe quel document effacé ou modifié. Ce service complète le System Restore déjà présent dans Windows XP permettant de revenir à un état antérieur du système suite à une mauvaise installation.

Antivirus McAfee VirusScan 8.5 + ePO 3.6

Seule la dernière version de l’antivirus McAfee VirusScan 8.5 est compatible. Elle apporte quelques protections comportementales supplémentaires ainsi que l’analyse en temps réel des spywares, adwares et autres programmes potentiellement dangereux. Elle est disponible à l’installation pour toute machine présente sur le campus de l’EPFL via. Cette installation comprend également l’agent ePO 3.6 qui s’assurera de la configuration de VirusScan ainsi que de sa mise à jour.

Toutes ces nouvelles mesures de protection ne pallient pas le mauvais comportement de l’utilisateur. Il ne faut en effet pas oublier que plus les moyens de protection sont efficaces, plus les personnes malveillantes vont cibler le maillon le plus faible, c’est-à-dire l’utilisateur, et tenter ainsi de le berner et d’essayer de lui faire exécuter un programme à son insu.

Vista et l’Active Directory

Les améliorations de Windows Vista en termes de sécurité et d’intégration dans Active Directory sont beaucoup plus importantes que les différences constatées à l’époque entre un OS Windows 2000 et XP. Par conséquent, des tests d’intégration dans notre annuaire Active Directory sont pour l’instant en cours. C’est pourquoi, nous préconisons de procéder par étapes en commençant par des expérimentations, avant de déployer Vista à large échelle.

Administration de l’environnement Active Directory

Windows 2003 R2 avec Vista

Attention pour les administrateurs qui désirent gérer Active Directory avec Vista, il est impératif pour l’instant, d’effectuer les tâches d’administration uniquement depuis un OS XP ou Windows2003 (SP1 ou R2).
Même si Microsoft a publié un article (No : 930056 du 27.12.2006) qui nous explique comment installer les outils tels que adminpak.msi et support Tools sur un OS Vista, la prudence est de rigueur !

Intégration des 800 GPO de Vista dans notre environnement Active Directory Windows 2003 R2

Vista nous arrive avec quelque 800 nouvelles stratégies et 130 Template ADMX (env.6-8 ADM sous 2003). En attendant les nouveaux serveurs (Longhorn) nous pouvons tout de même profiter de ces nouvelles GPO sous Windows 2003 SP1/R2. Pour ce faire, il est nécessaire de publier les 130 nouveaux fichiers ADMX dans un magasin central créé à cet effet dans le répertoire Sysvol de chaque domaine de la forêt intranet.epfl.ch.
Une des particularités de ces GPO, c’est lorsqu’une nouvelle stratégie est créée, les fichiers ADMX ne sont pas recopiés dans son répertoire (heureusement parce qu’avec 130 Template, bonjour les doublons !).
Seul GPMC (Group Policy Management Console) depuis Vista peut éditer ces nouvelles GPO ADMX (gpedit.msc) et publier des rapports, mais vous pouvez tout de même les activer/désactiver avec GPMC depuis un OS 2003/XP. Ces GPO fonctionnent uniquement avec Vista. Par conséquent, Microsoft préconise à l’heure actuelle de créer une ou des sous OU Vista dans la structure Active Directory. Cette manipulation est importante pour des raisons de gestion évidentes, car ces GPO s’appliquent uniquement à Vista et n’ont aucun effet sur les OS 2000-2003-XP. Sans modification, les stratégies ADM actuelles s’appliquent normalement à Vista.
Sachez que ces modifications dans notre forêt intranet.epfl.ch, s’effectueront selon un plan d’action défini par le groupe WINAD (Windows Active Directory) courant 2007. Voir plus de détails sur le fonctionnement des GPO VISTA.

Dois-je installer Vista tout de suite ?

Au moment de l’écriture de cet article, la réponse logique est NON ! Car certains problèmes, propres à l’EPFL, n’ont pas encore été totalement résolus (par exemple le client VPN Cisco, encore en bêta, n’est pas vraiment stable. Les problèmes de l’antivirus et de l’authentification RADIUS viennent tout juste d’être résolus). Cependant, pour une nouvelle machine non critique et utilisant des logiciels conventionnels, il peut être intéressant de passer directement à Vista afin de s’éviter une future réinstallation. La migration d’une machine existante peut, par contre, générer beaucoup de problèmes. On peut s’assurer de la compatibilité d’un système (matériel et logiciel) en installant une petite application qui permet de planifier la mise à jour. Vous pouvez aussi la télécharger depuis Olympe : \\olympe\NTLINE2\System\Sys_Vista_Enterprise\WindowsVistaUpgradeAdvisor.msi.
La politique de migration Vista au sein des différentes facultés de l’EPFL est la prudence et il n’est pas concrètement envisagé de migration avant le début de l’été 2007. Nous vous conseillons de mettre ce temps à profit pour faire les différents tests et vous préparer à cette migration.

Considérations matérielles

La configuration minimale recommandée par le DIT est la suivante :

  • processeur : environ 1,7 GHz
  • mémoire :
    • bureautique : 1 Go
    • scientifique : 2 à 4 Go
  • disque dur : de préférence SATA 7200 t/min, minimum 40 Go libres.

Installation

Avant toute chose, il faut savoir que notre contrat Campus ne nous donne qu’une autorisation de mise à jour. VOUS DEVEZ DONC DÉJÀ ÊTRE EN POSSESSION D’UNE LICENCE WINDOWS (Win2000, WinXP, etc.). S’il s’agit d’une machine neuve, vous devez avoir commandé, avec celle-ci, une licence Windows OEM.
N’oubliez pas qu’il faudra aussi l’approbation de votre administrateur d’unité pour installer Vista !
Après un petit détour sur Distrilog pour commander la mise à jour vers Vista, vous pouvez graver un DVD avec l’image ISO fournie et démarrer l’installation/mise à jour de votre système...

Licence(s)

Vista est le premier produit à utiliser le mode de licence de clé en volume version 2 (VL2) : celui-ci nécessite une activation du logiciel soit via Microsoft, soit via un serveur local. Techniquement, la solution qui est la plus avantageuse à mettre en place et qui ne nécessite aucune action de l’utilisateur est le mode KMS (Key Management Service).

Description du mode KMS :

  1. L’utilisateur installe Vista depuis Olympe ou depuis un DVD (il n’a aucun code de licence à entrer). Si celui-ci paramètre correctement les DNS Windows de l’EPFL, tout le reste est automatique et transparent (pour rappel : 128.178.15.227 et 128.178.15.228).
  2. Dans un délai de 2 heures, la machine de l’utilisateur va interroger les DNS pour connaître l’adresse IP du serveur KMS. Si celui-ci est trouvé, il va effectuer la validation de la machine cliente pour une durée de six mois. Si la validation échoue, elle sera relancée toutes les deux heures. La machine de l’utilisateur a un mois pour effectuer cette validation (faute de quoi elle tombe en mode de fonctionnement réduit, voir point 4).
  3. Tous les 7 jours, la machine de l’utilisateur va tenter de se reconnecter au serveur KMS pour revalider sa licence pour une période de six mois.
  4. Si une machine ne s’est pas connectée au serveur KMS durant six mois, la période de grâce d’un mois s’applique, lui demandant de se reconnecter au réseau. Si après ce délai, la machine ne s’est toujours pas (re)validée, elle tombe en mode de fonctionnement réduit (une fenêtre invite l’utilisateur à valider sa licence au démarrage de la session, pas de menu démarrer, pas d’icône du bureau et fond du bureau en noir, de plus la session en cours est fermée automatiquement au bout d’une heure).

Comme on le voit, le mode de licence KMS ne devrait poser aucun problème à près de 99.9% de nos utilisateurs. À noter que la (re)validation fonctionne également au travers du VPN (la connexion doit durer au moins cinq minutes). Pour les cas exceptionnels de PC qui ne sont JAMAIS connectés à notre réseau (LAN EPFL ou VPN), nous avons la possibilité d’installer sur ces machines une clé MAK (nous en avons un nombre LIMITÉ !!!) qui permet une validation téléphonique directement auprès de Microsoft.

Formation

Dès mi-février un cours destiné aux administrateurs sera disponible. Dès mi-avril, un cours destiné aux utilisateurs sera aussi programmé par le DIT.

Conclusion

Le successeur de Windows XP est non seulement beau (interface graphique Aero), mais son coeur a complètement été revu (WinFX aka.NET 3.0). Comme pour tout nouveau logiciel, il faut s’attendre à quelques erreurs de jeunesse (souvenez-vous de WinXP ou de Fedora Core 4), mais il y a fort à parier que Vista saura tirer son épingle du jeu et devenir le nouveau standard de fait.
N’hésitez pas à venir régulièrement sur les sites Internet suivants :

Vous y trouverez au fur et à mesure différents articles sur Windows Vista, les conseils, les problèmes à l’EPFL avec leurs solutions, les astuces, etc.



Cherchez ...

- dans tous les Flash informatique
(entre 1986 et 2001: seulement sur les titres et auteurs)
- par mot-clé

Avertissement

Cette page est un article d'une publication de l'EPFL.
Le contenu et certains liens ne sont peut-être plus d'actualité.

Responsabilité

Les articles n'engagent que leurs auteurs, sauf ceux qui concernent de façon évidente des prestations officielles (sous la responsabilité du DIT ou d'autres entités). Toute reproduction, même partielle, n'est autorisée qu'avec l'accord de la rédaction et des auteurs.


Archives sur clé USB

Le Flash informatique ne paraîtra plus. Le dernier numéro est daté de décembre 2013.

Taguage des articles

Depuis 2010, pour aider le lecteur, les articles sont taggués:
  •   tout public
    que vous soyiez utilisateur occasionnel du PC familial, ou bien simplement propriétaire d'un iPhone, lisez l'article marqué tout public, vous y apprendrez plein de choses qui vous permettront de mieux appréhender ces technologies qui envahissent votre quotidien
  •   public averti
    l'article parle de concepts techniques, mais à la portée de toute personne intéressée par les dessous des nouvelles technologies
  •   expert
    le sujet abordé n'intéresse que peu de lecteurs, mais ceux-là seront ravis d'approfondir un thème, d'en savoir plus sur un nouveau langage.