Aperçu Technique de Windows Server 2003 SP1 Christophe Lauer - Relations Techniques Editeurs de Logiciels Division Développeurs & Plate-forme d’Entreprise Microsoft France

Agenda Les difficultés de clients et les problèmes de sécurité ont conduit à la publication de Windows Server 2003 SP1 Les difficultés de clients et les problèmes de sécurité ont conduit à la publication de Windows Server 2003 SP1 Objectifs de Windows Server 2003 SP1 Objectifs de Windows Server 2003 SP1 Améliorations et fonctions principales de SP1 Améliorations et fonctions principales de SP1 Feuille de route – Windows Feuille de route – Windows Ressources supplémentaires pour accélérer sur Windows Server 2003 SP1 Ressources supplémentaires pour accélérer sur Windows Server 2003 SP1 Résumé Résumé Discussions – Q&A Discussions – Q&A

Pourquoi publions-nous Windows Server 2003 SP1 ? Pour réduire les ennuis de nos clients relatives à la sécurité de nos systèmes d'exploitation, et pour proposer un système d'exploitation plus solide et plus sécurisé à nos clients Pour réduire les ennuis de nos clients relatives à la sécurité de nos systèmes d'exploitation, et pour proposer un système d'exploitation plus solide et plus sécurisé à nos clients Pour améliorer la sécurité de Windows Server 2003 et pour réduire encore la surface d'attaque Pour améliorer la sécurité de Windows Server 2003 et pour réduire encore la surface d'attaque Pour apporter de nouvelles améliorations Pour apporter de nouvelles améliorations  Protection de la configuration SECOOBE  Pare-feu Windows  Assistant Configuration sécurisée basée sur les rôles Pour augmenter le nombre d'utilisateurs de Windows Server 2003 et contrer le syndrome “J’attends le SP1” Pour augmenter le nombre d'utilisateurs de Windows Server 2003 et contrer le syndrome “J’attends le SP1”

Windows Server 2003 SP1 Pourquoi ? Pourquoi ?  Gestion des correctifs trop complexe  Temps avant l’exploit diminue  Exploits plus sophistiqués  Approche actuelle insuffisante Comment ? Comment ?  Une approche basée sur les rôles donne plus de flexibilité à nos clients en termes de temps de test et de déploiement  Attitude proactive et non réactive, c'est-à-dire Pare-feu Windows et stratégie AD pour les ensembles de règles de Pare-feu Windows  Étape dans l'évolution vers des plates-formes informatiques, des applications et des périphériques plus sûrs Blaster Welchia/Nachi Nimda 25 SQL Slammer Nb. de jours écoulés entre le correctif et l'exploit

Quels sont les objectifs de la version SP1 ? Sécurité renforcée Sécurité renforcée  Surface d'attaque réduite  Nouvelles améliorations de la sécurité  Valeurs par défaut plus fortes et réduction des privilèges sur les services  RPC  DCOM  Prise en charge des processeurs capables de “No Execute” (NX ou DEP)  Intel  AMD  Pare-feu Windows activé par défaut  Nouveau scénario d'installation  Fournir un Assistant Configuration de la sécurité pour assister les administrateurs informatiques  Configuration et verrouillage basés sur les rôles  VPN en quarantaine  Inspection des clients  Correction  Isolation  Audit de la métabase IIS 6.0 Amélioration de la fiabilité Amélioration de la fiabilité Amélioration des performances Amélioration des performances  Amélioration de plus de 10 % en matière de TPC, TPC-H, SAP, SSL, etc.

Fonctionnalités et améliorations de SP1 Améliorations pertinentes de Windows XP SP2 Améliorations pertinentes de Windows XP SP2  RPC, verrouillage DCOM Pare-feu Windows Pare-feu Windows Mises à jour de sécurité après installation (PSSU, Post-Setup Security Updates) Mises à jour de sécurité après installation (PSSU, Post-Setup Security Updates) Protection du réseau au démarrage pour les nouvelles installations Protection du réseau au démarrage pour les nouvelles installations Assistant Configuration de la sécurité Assistant Configuration de la sécurité Base pour les Systèmes 64 bits Base pour les Systèmes 64 bits

Rapprochements avec Windows XP SP2 Améliorations RPC et DCOM Rapprochements avec Windows XP SP2 Surface d'attaque RPC réduite Surface d'attaque RPC réduite  Exécuter des objets RPC avec moins de données d'identification Nouvelles clés de Registre RPC Nouvelles clés de Registre RPC  Permettent aux applications serveur de limiter l'accès à l'interface, en général par le biais d'un rappel de sécurité  Permettent aux développeurs d'applications de contrôler plus étroitement l'accès Restrictions de contrôle d'accès DCOM supplémentaires Restrictions de contrôle d'accès DCOM supplémentaires  Renforcement du modèle de sécurité de l'authentification DCOM  Réduction générale des risques d'une attaque réussie contre le réseau Ports RPC et DCOM gérés de façon spéciale par le Pare- feu Windows Ports RPC et DCOM gérés de façon spéciale par le Pare- feu Windows

Pare-feu Windows/RPC Objectifs et avantages pour les clients Objectifs et avantages pour les clients  Fournir par défaut une meilleure protection contre les attaques réseau  Configuration du serveur basée sur les rôles Ce que nous faisons Ce que nous faisons  Pare-feu Windows (anciennement ICF) activé par défaut dans pratiquement toutes les configurations  Davantage d'options de configuration  Stratégie de groupe, ligne de commande, installation sans assistance  Interface utilisateur améliorée  Protection au démarrage  Restreindre les connexions anonymes aux interfaces DCOM/RPC Impact sur les applications Impact sur les applications  Les connexions entrantes au réseau ne seront pas autorisées par défaut  Les ports d'écoute restent ouverts uniquement pendant l'exécution de l'application

Pare-feu Windows L'amélioration des paramètres permet un contrôle plus fin L'amélioration des paramètres permet un contrôle plus fin Plus d'options de configuration, une interface améliorée permettent aux clients de mieux contrôler les communications réseau Plus d'options de configuration, une interface améliorée permettent aux clients de mieux contrôler les communications réseau Utilisateur Internet ou Employé Client

Mises à jour de sécurité post installation Post-Setup Security Updates (PSSU) Post-Setup Security Updates (PSSU) Nouvelle fonctionnalité conçue pour protéger les serveurs entre le premier démarrage et l'application des dernières mises à jour de sécurité Nouvelle fonctionnalité conçue pour protéger les serveurs entre le premier démarrage et l'application des dernières mises à jour de sécurité Elle s'ouvre à la première connexion de l'administrateur si le Pare-feu Windows n'a pas été explicitement activé à l'aide d'un script d'installation sans assistance ou d'une stratégie de groupe Elle s'ouvre à la première connexion de l'administrateur si le Pare-feu Windows n'a pas été explicitement activé à l'aide d'un script d'installation sans assistance ou d'une stratégie de groupe Elle bloque les connexions entrantes tant que le client n'a pas cliqué sur «Terminer» dans la boîte de dialogue PSSU Elle bloque les connexions entrantes tant que le client n'a pas cliqué sur «Terminer» dans la boîte de dialogue PSSU

Mises à jour de sécurité post installation Propose des liens vers Windows Update Propose des liens vers Windows Update Permet de configurer des mises à jour automatiques Permet de configurer des mises à jour automatiques Elle s'ouvre à nouveau si la mise à jour n'a pas été terminée avant le premier redémarrage Elle s'ouvre à nouveau si la mise à jour n'a pas été terminée avant le premier redémarrage Une fermeture forcée (ALT+F4) ne modifie pas le pare-feu : le système exécute des tests pour afficher de nouveau PSSU à la prochaine ouverture de session Une fermeture forcée (ALT+F4) ne modifie pas le pare-feu : le système exécute des tests pour afficher de nouveau PSSU à la prochaine ouverture de session

Mises à jour de sécurité post installation

Mises à jour de sécurité après installation S'applique aux S'applique aux  Administrateurs de serveurs Windows qui craignent que les nouveaux serveurs Windows Server 2003 ne soient pas complètement protégés avant l'application des mises à jour  Administrateurs qui effectuent de nouvelles installations de Windows Server 2003 avec un Service Pack Ne s'applique pas si Ne s'applique pas si  Le système d'exploitation est installé avec un script d'installation sans assistance activant ou désactivant le Pare-feu Windows  Le Pare-feu Windows est activé ou désactivé par le biais d'une stratégie de groupe avant l'affichage de la fonctionnalité PSSU  Les mises à jour portent sur un système d'exploitation Windows Server 2003 existant, ou dans le cas d’une mise à niveau de Windows NT ou de Windows 2000 vers Windows Server 2003

Assistant Configuration de la sécurité Réduction de la surface d'attaque guidée pour les serveurs Windows Server Réduction de la surface d'attaque guidée pour les serveurs Windows Server  Couverture de la sécurité  Métaphore basée sur les rôles  Désactive les services superflus  Désactive les extensions Web IIS superflues  Bloque les ports non utilisés, notamment dans les scénarios de multirésidents  Aide les ports sécurisés qui sont restés ouverts à l'aide de la stratégie IPSEC  Réduit l'exposition aux protocoles (LDAP, NTLM, SMB)  Configure le paramètre Audit avec le signal élevé défini sur Bruit Sécurité pour les “simples mortels” Sécurité pour les “simples mortels”  La sécurité basée sur les rôles facilite les réponses aux questions  Automatisée plutôt qu’un guide “papier”  Entièrement testée et prise en charge par Microsoft

Couverture d'exploitation de l'Assistant Configuration de la sécurité Annulation si les stratégies appliquées interrompent l'attente du service Annulation si les stratégies appliquées interrompent l'attente du service Analyse pour vérifier la compatibilité des machines avec les stratégies Analyse pour vérifier la compatibilité des machines avec les stratégies Possibilité d'exécuter à distance les tâches de configuration et d'analyse Possibilité d'exécuter à distance les tâches de configuration et d'analyse Prise en charge de la ligne de commande pour la configuration et l'analyse à distance en masse Prise en charge de la ligne de commande pour la configuration et l'analyse à distance en masse Intégration d'Active Directory au déploiement basé sur la stratégie de groupe Intégration d'Active Directory au déploiement basé sur la stratégie de groupe Modification des stratégies précédemment créées lorsque l'utilisation des machines est changée Modification des stratégies précédemment créées lorsque l'utilisation des machines est changée Vues XSL de la Base de connaissances, stratégies et résultats des analyses Vues XSL de la Base de connaissances, stratégies et résultats des analyses

Prise en charge clients et serveurs Systèmes 64 bits étendus Prise en charge clients et serveurs Points clé Points clé  Etend le retour sur investissement des applications 32 bits  Évolution vers la technologie 64 bits avec un excellent rapport qualité/prix Code unique Code unique  Intel Xeon EM64T, AMD64 et Opteron pris en charge avec un produit unique Impact Impact  Exécute la plupart des applications 32 bits actuelles avec des performances accrues  Plate-forme d'applications 64 bits pour de meilleures performances et une évolutivité accrue  Avantages pour les performances du système d'exploitation Charge de travail Performances et évolutivité Base de données 32 bits Plus 17 % Applications professionnelles 32 bits Plus 10 % d'utilisateurs SAP Réseau Transfert record de 7 Gbit/s Fichier Capacité des utilisateurs augmentée de 111 % Active Directory Débit 2 fois plus élevé Services Terminal Server Plus 50 % d'utilisateurs Tests préliminaire sur les premières applications portées

Orientations futures pour Windows

Cycle des publications de Windows Server Versionmajeure VersionmajeureVersionmajeureVersion mise à jour Version ~ 4 ans ~ 2 ans

Nom de code « R2 » Mise à jour de Windows Server 2003 Nom de code « R2 » Basée sur Windows Server 2003 SP1 Basée sur Windows Server 2003 SP1  Compatibilité des applications, services et politique de support identiques à ceux de Windows Server 2003 Thèmes et scénarios principaux Thèmes et scénarios principaux  Accès aux informations simplifié et sécurisé  Accès n'importe où en toute transparence  Fédération des identités  Protection du réseau  Optimisation de la charge dans les succursales  Déploiement et gestion simplifiés des serveurs des succursales  Utilisation optimisée du réseau étendu WAN Disponibilité et licences Disponibilité et licences  À sa commercialisation, Windows Server 2003 R2 constituera le produit standard dans tous les réseaux  Les serveurs couverts par Software Assurance (SA) au moment de la commercialisation recevront la version R2 dans le cadre de la prestation  Proposée pour l'acquisition en tant que licence de nouveau serveur pour des systèmes autres que SA  Pas de nouvelles licences CAL Windows Server 2003 requises

Accès n'importe où en toute transparence Accès point à point des fichiers, des services Web et des services Terminal Server Accès point à point des fichiers, des services Web et des services Terminal Server Déploiement aisé Déploiement aisé Fonctionne quel que soit l'emplacement des utilisateurs Fonctionne quel que soit l'emplacement des utilisateurs Plus sécurisé que le réseau VPN Plus sécurisé que le réseau VPN Accès au serveur Accès au serveur n'importe où Partages de fichiers Partages de fichiers Applications via Terminal Services Outlook par le biais d'Exchange Outlook par le biais d'Exchange

Services de Fédération d'Active Directory (ADFS) Fédération des identités Services de Fédération d'Active Directory (ADFS) Étend Active Directory pour permettre l'authentification unique dans l'entreprise Étend Active Directory pour permettre l'authentification unique dans l'entreprise Évite aux informaticiens de gérer des comptes d'utilisateur externes Évite aux informaticiens de gérer des comptes d'utilisateur externes Interopérabilité avec d'autres plates-formes basée sur les standards Interopérabilité avec d'autres plates-formes basée sur les standards Société A Société B SharePoint Server AD AD

Protection du réseau Bilan de santé Bilan de santé  Le service IT vérifie la «bonne santé» du client Contrôle d'accès réseau Contrôle d'accès réseau  Les clients jugés « sains » obtiennent l'accès réseau  Les clients qui échouent sont corrigés ou bloqués (mis en quarantaine) Maintenance relative à la santé Maintenance relative à la santé  L'accès aux ressources peut être accordé aux clients mis en quarantaine afin de corriger leurs problèmes À partir du domicile (VPN, connexion à distance) Retour d'ordinateurs portables Consultants Invités Ordinateurs de bureau contaminés

Serveurs d’Agences Simplifiés Optimiser le trafic du réseau étendu Optimiser le trafic du réseau étendu Mettre en cache/miroir le contenu vers l'emplacement associé Mettre en cache/miroir le contenu vers l'emplacement associé Gérer et sauvegarder les données de façon centralisée Gérer et sauvegarder les données de façon centralisée Serveur d’agence totalement opérationnel en cas d'échec de la connection Serveur d’agence totalement opérationnel en cas d'échec de la connection Réseau étendu ou INTERNET

Présentation générale Windows Server « Longhorn » Présentation générale Plate-forme d'applications de services Web de demain Plate-forme d'applications de services Web de demain  Gestion intégrée d'IIS, d'ASP.NET et de « Indigo »  Focus sur l'utilisation partagée et les scénarios d'hébergement Facilité de gestion dès le début Facilité de gestion dès le début  Le déploiement basé sur les rôles réduit la maintenance et la surface d'attaque  Scripts d’administration, automatisation, surveillance, diagnostics et gestion des paramètres « meilleurs que ceux d’UNIX »  Déploiement et gestion améliorés des PC et des serveurs Fondamentaux améliorées, notamment la sécurité Fondamentaux améliorées, notamment la sécurité  Rôles compatibles IPv6, compatibilité des applications avec Windows Server 2003 Prise en charge de nouveaux matériel et standards Prise en charge de nouveaux matériel et standards  Partitionnement dynamique des “Mainframes” Windows, prise en charge de serveurs “lame” sans disque dur, PCI-Express Les nouvelles fonctionnalités de Windows Server 2003 R2 seront dans Windows Server Longhorn Les nouvelles fonctionnalités de Windows Server 2003 R2 seront dans Windows Server Longhorn

WindowsServerFeedback.com Participer activement (en anglais) WindowsServerFeedback.com Échangez vos idées avec l'équipe de développement des serveurs Windows Server sur le site WindowsServerFeedback.com Échangez vos idées avec l'équipe de développement des serveurs Windows Server sur le site WindowsServerFeedback.comWindowsServerFeedback.com  Vous pouvez également prendre part aux :  Études en ligne sur les fonctionnalités prioritaires des produits  Groupes consacrés aux produits  Versions Bêta

Résumé Windows Server 2003 SP1 est conçu pour encourager l'utilisation de Windows Server 2003 et la migration à partir de Windows NT 4.0 et de Windows 2000 Windows Server 2003 SP1 est conçu pour encourager l'utilisation de Windows Server 2003 et la migration à partir de Windows NT 4.0 et de Windows 2000 Le Service Pack consacré à la sécurité contient également les améliorations en matière de performances et de fiabilité Le Service Pack consacré à la sécurité contient également les améliorations en matière de performances et de fiabilité Feuille de route pleine de promesses – complément à Windows XP SP2, avant-goût de Windows Server 2003 R2 et Longhorn Feuille de route pleine de promesses – complément à Windows XP SP2, avant-goût de Windows Server 2003 R2 et Longhorn La feuille de route sur Windows Server est solide La feuille de route sur Windows Server est solide Ce que vous pouvez faire Ce que vous pouvez faire  Prendre connaissance des documents de référence (voir diapositives suivantes)  Communiquer l'état d’avancement à vos clients  Partager la feuille de route de Windows Server 2003 avec les clients  Contribuer aux améliorations que nous pouvons encore apporter dans ce domaine ( WindowsServerFeedback.com )

Informations complémentaires Windows Server 2003 : default.mspx Windows Server 2003 : default.mspx Windows Server 2003 SP1 (en Anglais) : icepack/default.mspx Windows Server 2003 SP1 (en Anglais) : icepack/default.mspx Technical Overview of Windows Server 2003 SP1 (en Anglais) : icepack/overview.mspx Technical Overview of Windows Server 2003 SP1 (en Anglais) : icepack/overview.mspx Windows XP SP2 sur Microsoft TechNet : sp2/default.mspx Windows XP SP2 sur Microsoft TechNet : sp2/default.mspx Page d'accueil du site Microsoft Sécurité : Page d'accueil du site Microsoft Sécurité : Bulletins de sécurité Microsoft : Bulletins de sécurité Microsoft : Enhancing Customer Security (en Anglais) sur Microsoft TechNet : Enhancing Customer Security (en Anglais) sur Microsoft TechNet : Microsoft IT practices (en Anglais) : Microsoft IT practices (en Anglais) :

© 2004 Microsoft Corporation. Tous droits réservés. Cette présentation est fournie uniquement à des fins d'information. Microsoft Corporation exclut toute garantie, expresse ou implicite, concernant ce document.