Télécharger la présentation
La présentation est en train de télécharger. S'il vous plaît, attendez
1
Vue d’ensemble de
2
Objectif du séminaire 3/30/2017 7:51 AM Quels sont les bénéfices techniques à migrer vers Windows Server ? © 2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.
3
Avertissement Les démonstrations et informations données dans cette présentation, se basent sur une version préliminaire (Beta) de Windows Server 2008, les informations présentées peuvent être soumises à changement et ce jusqu’à la mise à disposition commerciale du logiciel en version finale. © 2007 Microsoft Corporation. Tous droits réservés.
4
Web Virtualisation Sécurité
3/30/2017 7:51 AM Web Virtualisation Sécurité Fondamentaux Title: Windows Server 2008 Talking Points: Windows Server 2008 contains four pillars. Microsoft Windows Server 2008, with its built-in web and virtualization technologies, is the most robust and reliable foundation on which to develop, deliver, and manage rich user experiences and applications, provide a secure network infrastructure, and reduce costs while increasing technological flexibility and value within your organization. Windows Server 2008 contains four pillars: Solid Foundation for Your Business Workloads, Web, Virtualization, and Security. Solid Foundation for Your Business Workloads: Windows Server 2008 is the most flexible and robust Windows Server operating system to date. With new technologies and features such as Server Core, PowerShell, Windows Deployment Services, and enhanced networking and clustering technologies, Windows Server 2008 provides the most versatile and reliable Windows platform for all workload and application requirements. Server Manager is a unified Microsoft Management Console (MMC) that offers IT Professionals an integrated experience for adding, removing, and configuring server roles, role services, and features. Windows Deployment Services (WDS) is a suite of components that work together on Windows Server 2008 to provide a simplified, secure means of rapidly deploying Windows operating systems to computers by using network-based installation, without the need for an administrator to work directly on each computer, or install Windows components from CD or DVD media. The Windows PowerShell command-line shell and scripting language helps IT Professionals automate common tasks and more easily control system administration and to accelerate automation, even in remote locations such as branch offices. Server core is a new installation option for selected roles that includes only the necessary subsystems required for the supported server roles, providing a more reliable and secure server that requires less patching and servicing. Windows Server 2008 includes a new implementation of the TCP/IP protocol stack known as the Next Generation TCP/IP stack. The Next Generation TCP/IP stack is a complete redesign of TCP/IP functionality that meets the connectivity and performance needs of today's varied networking environments and technologies. A failover cluster (formerly known as server clusters) is a group of independent computers that work together to increase the availability of applications and services. In Windows Server 2008, the improvements to failover clusters are aimed at simplifying clusters, making them more secure, and enhancing cluster stability. [BUILD1] Web: Windows Server 2008 provides organizations with the ability to deliver rich web-based experiences efficiently and effectively, with improved administration and diagnostics, development and application tools and lower infrastructure costs. Windows Server 2008 is a powerful Web Application and Services Platform. The Microsoft Web server has taken a giant leap forward with the release of IIS7, delivering a completely modular, extensible Web server with expanded application hosting, while retaining excellent compatibility and solving key customer challenges. Microsoft Windows SharePoint® Services 3.0 is a collaboration technology that helps organizations improve business processes and enhance team productivity. With a rich set of features and tools that give people browser-based access to workspaces and shared documents, Windows SharePoint Services helps people work with others across organizational and geographic boundaries. Windows Media Services provide the ultimate fast-streaming experience and dynamic programming for on-the-fly and personalized content delivery, and an industrial-strength platform that ensures ease- of-administration, customization, and scalability. [BUILD2] Virtualization: With its built-in server virtualization technology, Windows Server 2008 enables organizations to reduce costs, increase hardware utilization, optimize their infrastructure, and improve server availability. Windows Server virtualization (WSv) provides a hypervisor-based platform for increased reliability, high availability through Failover Clustering and allows organizations to optimize their resources with server consolidation. Flexibility has been enhanced for mobile workers using technologies that allow users to execute programs from any remote location, such as Terminal Services RemoteApp and Terminal Services Gateway. [BUILD3] Security: Windows Server 2008 is the most secure Windows Server ever. Its hardened operating system and security innovations, including Network Access Protection, Federated Rights Management, and Read-Only Domain Controller, provide unprecedented levels of protection for an organization’s data. Windows Server 2008 includes security and compliance enhancements, as well as tools to improve auditing, secure startup, and encryption. It enables organizations to prevent theft of data with Rights Management Services, BitLocker, and Group Policy technologies. Windows Service Hardening helps keep systems safer by preventing critical server services from being compromised by abnormal activity in the file system, registry, or network. Security is also enhanced in the Windows Server 2008 operating system by means of Network Access Protection (NAP), Read-Only Domain Controller (RODC), Public Key Infrastructure (PKI) enhancements, a new bi-directional Windows Firewall, and next-generation cryptography support. Windows Server 2008 delivers a fully-integrated Federated Rights Management Services solution. This provides for an easily deployed collaboration extension to an organization’s Rights Management framework, eliminating the additional IT management overhead of external user IDs and passwords and providing organization’s with the needed protection of sensitive information Additional Information: Changes in Functionality to Windows Server Longhorn (January 2007).doc (also called the Book of Longhorn)
5
Plateformes et versions
32 bits (x86) 64 bits (x64 et IA64*) Versions « classique » et « Server Core** » Web Standard Enterprise Datacenter * Rôles et fonctionnalités limités - ** uniquement sur Standard, Enterprise et Datacenter
6
Server Core Option d’installation minimale
3/30/2017 7:51 AM Option d’installation minimale Surface d’exposition réduite Interface en ligne de commande Ensemble de rôles restreints Choix à l’installation ! N’est pas une plateforme applicative Rôles du serveur (en plus de ceux de la version Core) TS IAS Web Server Share Point Etc… Server Avec .Net 3.0, shell, outils, etc. Server Core - « Rôles » DNS DHCP File & Print AD WSV AD LDS Media Server IIS Server Core Composants Sécurité, TCP/IP, Système de fichiers, RPC, plus d’autre sous-systèmes Core Server GUI, CLR, Shell, IE, Media, OE, etc. © 2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary. 6
7
Fondamentaux Installation
8
Installation de Windows Server 2008
3/30/2017 7:51 AM Installation Par fichier image (fichier .wim) 2 modes Classique Serveur Core Configuration initiale Initial Configuration Tasks Administration du serveur Server Manager Gestion des rôles Gestion des fonctionnalités Pas d’upgrade d’une version Core en version complète Nouveauté DNS: Background zone loading Support de IPv6 Primary real-only Zone (utilisé par RODC) zone globalNames (pour des enregistrements de type Wins) Mode d’installation Server Core Pas d’interface utilisateur. Juste une console texte. Limité à DHCP, DNS, File Server, DC Option : Bitlocker, SNMP…. Maintenance logicielle limitée Surface d’attaque réduite Administration réduite Espace disque plus faible (environ 1 Go) Server Manager Initial configuration tasks Rôles Features © 2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.
10
Server Manager Votre nouvel ami
Rationnaliser les outils et disposer d’un outil central permettant d’ajouter, de configurer et de gérer les différents rôles et fonctionnalités du serveur Un seul outil pour configurer Windows Server 2008 Portail d’administration Ligne de commande servermanagercmd.exe INF210
11
Fondamentaux Active Directory
12
Objectifs Disposer de mécanismes permettant une installation granulaire d’Active Directory Améliorer la prise en charge des serveurs distribués géographiquement (agences) Optimiser la consommation de bande passante Elever le niveau de sécurité
13
Active Directory : nomenclature
Active Directory Domain Controller Active Directory Domain Services Active Directory Application Mode Active Directory Lightweight Directory Rights Management Services Active Directory Rights Management Windows Certificate Services Active Directory Certificate Services
14
Active Directory dans Windows Server 2008
3/30/2017 7:51 AM Active Directory dans Windows Server 2008 Installation Nouvel assistant de promotion en contrôleur de domaine Installation automatisée améliorée Prise en charge du mode Server Core Sécurité Authentification, autorisations et audit Contrôleur de domaine en lecture seule Performance Réplication Sysvol différentielle Administration Active Directory sous forme de service Editeur d’attributs Protection contre les suppressions accidentelles Administration des stratégies de groupe avec GPMC © 2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.
15
Active Directory Domain Services DCPROMO dans Windows Server 2008
Support du server core Utilise les ‘crédentiels’ de l’utilisateur connecté pour la promotion Sélection des rôles : DNS (défaut), GC (défaut), RODC Mode avancé (/adv) Sélection du site (par défaut : auto-détection) Réplication AD durant la promotion: DC particulier, n’importe quel DC, média (sauvegarde AD) Auto-configuration du serveur DNS Auto-configuration du client DNS Création et configuration des délégations DNS
17
Active Directory Domain Services Sécurité
Authentification Support d’AES 256 bits pour Kerberos Envoi du certificat du DC lors de PKINIT (stapling) Stratégies de mots de passe multiples Autorisations Gestion plus granulaire des droits des propriétaires - Owner Access Right Application plus efficace des politiques de mots de passe Accès aux données sensibles - Confidentiality Bit Audit Modularité de mise en œuvre plus fine Ajout des champs “ancienne valeur” et “nouvelle valeur” au sein des événements
18
Politique de mots de passe multiples
Aujourd’hui la politique des mots de passe appliquée se définit pour l’ensemble du domaine Default Domain Policy dans un AD 2000/2003 Pas assez granulaire pour certaines organisations Avec Windows Server 2008 : il devient possible de définir des politiques de comptes au niveau des utilisateurs et des groupes du domaine Ne s’applique pas ni à l’objet ordinateur ni aux comptes locaux (utilisateurs hors domaine) Nécessite un niveau fonctionnel de domaine Windows Server 2008 Le schéma doit être en version 2008 Utilisation d’une nouvelle classe d’objets msDs-PasswordSettings
19
Stratégies de mots de passe multiples Guide Pas à pas
3/30/2017 7:51 AM Stratégies de mots de passe multiples Guide Pas à pas Définir la structure d'organisation et les politiques de mot de passe nécessaires Créer les groupes nécessaires et ajoutez/déplacez des utilisateurs Créer les objets paramètres de mot de passe (Password Settings Objects) pour toutes les politiques de mot de passe définies Appliquer les PSOs aux utilisateurs/groupes de sécurité globaux appropriés © 2007 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries. The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.
20
Contrôleur de domaine en lecture seule (Read Only Domain Controller)
Le retour du BDC de Windows NT 4.0 ? Réduire la surface d’exposition des DC Réduire l’impact sur les utilisateurs et le reste de l’infrastructure Active Directory en cas de compromission ou de vol d’un DC La copie locale de l’annuaire de chaque RODC est en lecture seule (droits en écriture très limités) Réplication unidirectionnelle AD, FRS/DFS-R et DNS Chaque RODC dispose de son propre compte KDC KrbTGT (identique à serveur membre) Les comptes machines des RODC n’appartiennent pas aux groupes “Enterprise DC” et “Domain DC” mais à un groupe spécifique « Read-only Domain Controllers » Un RODC ne stocke pas de condensés de mot de passe (hors Administrateur local et compte de machine) et autres attributs sensibles Droits d’écriture limités sur l’annuaire: RODC n’est pas membre des groupes “Enterprise DC” et “Domain DC”
21
Séparation des rôles d’Administration (uniquement valable sur les RODC)
Le nombre d’administrateurs du domaine est souvent trop important Dans la plupart des cas ce niveau de privilège n’est nécessaire que de manière locale Windows Server 2008 fournit un nouveau niveau d’accès “local administrator” pour chaque RODC Intègre tous les Builtin groups (Backup Operators, etc) Empêche les modifications accidentelles d’Active Directory par les administrateurs locaux N’empêche pas les modifications intentionnelles de la base locale par les administrateurs locaux
22
Read-Only DC Authentification
AS_Req vers le RODC (requête pour TGT) RODC: regarde dans sa base: “Je n’ai pas les crédentiels de l’utilisateur" Transmet la requête vers un Windows Server 2008 DC Windows Server 2008 DC authentifie la demande Renvoi la réponse et la TGT vers le RODC (Hub signed TGT) RODC fournit le TGT à l’utilisateur et met en queue une demande de réplication pour les crédentiels Le Hub DC vérifie la politique de réplication des mots de passe pour savoir s’il peut être répliqué INF210
23
Politique de réplication des mots de passe
Pas de mise en cache des comptes (défaut) La plupart des comptes sont cachés Quelques comptes sont cachés (comptes en agence)
25
Active Directory Domain Services Read-Only DC - Déploiement
Mise en œuvre en environnement Active Directory 2003 S’assurer que la forêt est en mode fonctionnel 2003 Utilisation de la réplication en mode LVR Les RODC nécessitent la délégation contrainte Kerberos Au minimum un DC en lecture-écriture doit être en version 2008 Le DC hébergeant le rôle FSMO PDC Emulateur doit être en version 2008 ADPREP /RodcPrep Nouveau commutateur permettant de définir les ACL sur les partitions DNS pour la réplication RODC ADPREP /DomainPrep Dans chaque domaine de la forêt si un ou plusieurs RODC doivent héberger le Global Catalog ADPREP /ForestPrep Mise à jour du schéma
26
Active Directory Domain Services Read-Only DC - Déploiement
Mise en œuvre en environnement Active Directory 2008 Le premier DC de la forêt ainsi que de chaque domaine ne peut pas être un RODC Limitations Les FSMO ne peuvent pas être des RODC Les serveurs tête de pont (Bridge-head) ne peuvent pas être des RODC Coexistence DC Windows Server 2003 et 2008 en lecture-écriture et RODC peuvent coexister au sein du même site Plusieurs RODC d’un même domaine ou de différents domaines peuvent coexister au sein du même site
27
Active Directory Domain Services Administration
Disponible en mode Server Core Réduction de la surface d’exposition Réduction de l’indisponibilité planifiée liée à l’installation des correctifs de sécurité Active Directory sous forme de service Réduction de l’indisponibilité planifiée liée aux opérations de maintenance Editeur d’attributs Modification possible de l’ensemble des informations sans outils tiers ou ADSIEDIT Protection contre les suppressions accidentelles OOOups, qui a supprimé l’OU Users ???? Snapshot Viewer J’ai retrouvé l’OU Users !!!! Administration des stratégies de groupe avec GPMC
28
Administration du Serveur
Fondamentaux Administration du Serveur
29
Objectifs Rationaliser les outils d’administration
Elargir les possibilités offertes en terme d’administration locale et distante Déployer plus rapidement de nouveaux systèmes (postes et serveurs)
30
Administration et Windows Server 2008
Le Server Manager Windows PowerShell Active Directory redémarrable Administrateurs locaux sur RODC Stratégies de groupes (GPO) (GPMC, admx/adml) Journaux et structure des événements Planificateur de tâches Administration Windows à distance WinRM Sauvegarde / restauration Outils de diagnostics Outils en ligne de commande
31
Server Core - Administration
Locale ou distante en ligne de commande Outils basiques WinRM et Windows Remote Shell pour l’exécution à distance WMI et WMIC (locale et à distance) Terminal Services (à distance) Microsoft Management Console (à distance) RPC, DCOM SNMP Planificateur de tâches Evénements et transfert d’événements Pas de support du code managé donc pas de support de Windows PowerShell INF210
32
Services de déploiement Windows (Windows Deployment Services)
Solution de déploiement pour Windows Server 2008 Nouvelles technologies : WIM, IBS, WinPE Ensemble d’outils pour personnaliser l’installation Démarrage à distance d’un environnement de pré-installation (WinPE) Notion de serveur PXE Support du multicast Administration graphique et en ligne de commande Wdsutil.exe
33
Terminal Server : accès centralisé aux applications
Fondamentaux Terminal Server : accès centralisé aux applications
34
Terminal Services avec Windows Server 2008
Centre de données Améliorer l’expérience utilisateur et enrichir les scénarios d’usages Permettre l’accès de n’importe où Faciliter le déploiement des applications Offrir un portail d’accès Authentification unique Nouveautés Passerelle TS (TS Gateway) Applications distantes (Remote Apps) Portail TS Web Impression (Easy Print) De la maison En agence En déplacement avec son ordinateur portable INF210
35
TS Gateway Accès distant au bureau et applications internes
3/30/2017 7:51 AM TS Gateway Accès distant au bureau et applications internes Internet DMZ LAN d’entreprise La maison TS Web HTTPS (TCP 443) RDP (TCP 3389) Active Directory RDP dans RPC/HTTPS RDP Hôtel, hotspot TS Gateway Terminal Server Pare-feu externe Pare-feu interne Partenaire / employé sur un site client Poste de travail (avec bureau distant) © 2006 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries. The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION. 35
36
Connection Authorization Policies (CAPs)
Les stratégies CAPs permettent de spécifier qui peut utiliser et donc se connecter à une Passerelle TS. Il suffit de spécifier un groupe d’utilisateurs soit : local au serveur Passerelle TS dans l’Active Directory Il est possible de spécifier d’autres conditions que les utilisateurs doivent satisfaire pour accéder à la Passerelle TS. Bien que les stratégies CAPs autorisent les utilisateurs à accéder à la Passerelle TS, ils n’autorisent pas ces utilisateurs à accéder aux ressources Terminal Server sur le réseau d’entreprise Pour cela, il faut définir des RAPs
37
Resource Authorization Policies (RAPs)
Les stratégies RAPs permettent d’autoriser l’accès vers des ressources Terminal Server à des utilisateurs connectés au travers de la Passerelle TS. Sans RAP : pas d’accès aux services TS via la Passerelle TS Il faut donc, dans un premier temps, définir des groupes de ressources (Resource Groups) = liste de serveurs TS Puis créer une RAP en associant un ou plusieurs groupe(s) de ressources à des utilisateurs ou groupes d’utilisateurs Liste de serveurs TS: Ressource Group (RG) Utilisateur(s) ou groupe(s) d’utilisateurs Stratégie d’accès aux groupes de ressources (RAPs)
38
Les applications distantes (Remote Apps)
3/30/2017 7:51 AM Les applications distantes (Remote Apps) Bénéfices: Meilleure ergonomie, diminution la complexité (bureaux multiples), Intégration avec le client RDP 6.x Gestion centralisée des applications Déploiement de l’application sans installation des binaires sur le poste (.msi, .rdp) Applications qui s’exécutent sur le Serveur TS Intégration avec le bureau de l’utilisateur sous la forme de raccourcis Accès aux données locales Intégration dans la barre de taches Glisser & Déplacer Côte à côte avec les applications locales L’outil de publication permet de créer des fichiers RDP ou MSI Les fichiers ont une taille réduite (moins de 100 K) et peuvent être déployés via GPO ou autre solution MICROSOFT CONFIDENTIAL © 2006 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries. The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.
39
Exécution distante de « faux » programmes?!
Les programmes distants… Ont l’apparence d’applications locales… Accèdent aux ressources locales avec les redirections… Sont donc un vecteur potentiel d’attaque contre les clients.. Solution: RDPSign Permet de signer numériquement un fichier RDP Le certificat de l’éditeur permet de déterminer l’origine Nouvelle interface utilisateur permettant d’accorder ou pas la confiance à l’application La décision de confiance de l’utilisateur est contrôlable par stratégie de groupe Savez-vous qui récupère votre mot de passe ? MICROSOFT CONFIDENTIAL © 2006 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries. The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.
40
Portail TS Web Objectif : Offrir un portail sous la forme de “Web part” pour accéder aux applications Terminal Server Spécifier le serveur lorsqu’il existe un seul serveur TS Personnaliser à partir de solutions personnalisée ASP ou tierce parties
41
Single Sign On Possible avec le client Windows Vista ou Windows Server 2008 et un serveur TS Windows 2008 Configurer l’authentification sur le serveur Security layer : Negociate ou SSL Configurer la délégation des crédentiels sur le client
42
Terminal Services Easy Print Pilote d’impression universel
Problématiques Le bon pilote d’impression n’est pas installé sur le serveur TS Il n’existe pas de pilote pour le système serveur (ex. 64 bits) Solution : TS Easy Print Redirection transparente des imprimantes disponibles sur les clients sans installation de pilotes sur les serveurs Utilisation du format XPS (XML Paper Specification) Toutes les options constructeurs sont disponibles au sein de la session TS pour l’utilisateur (panneau de configuration de l’imprimante) Réduction de la bande passante pour des travaux d’impression standards ou imprimés plusieurs fois
43
Web Plateforme Web
44
Objectifs Fournir une plateforme modulaire
Assurer une sécurité par défaut Disposer d’outils d’administration adaptés à tous les profils Faciliter la collaboration administrateurs / développeurs S’affranchir des restrictions existantes sur les versions antérieures
45
Approche modulaire Installation personnalisable : Plus de 40 modules
Un module est soit une DLL Win32 (module natif) soit du contenu .NET 2.0 dans une assembly (module managé) Tous les modules peuvent être ajoutés, supprimés voire remplacés par des modules développés en C++ (API IIS 7.0) ou avec les API ASP.NET 2.0
47
ASP.NET sur IIS 6.0 IIS6 ASP.NET Implémentation Monolithique
3/30/2017 7:51 AM ASP.NET sur IIS 6.0 IIS6 Implémentation Monolithique Extensibilité limitée ASP.NET Extension ISAPI Ne traite que les requêtes ASP.NET (.aspx) © 2006 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries. The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.
48
ASP.NET sur IIS 7.0 2 modes ASP.NET : Mode ISAPI (pour compatibilité)
3/30/2017 7:51 AM ASP.NET sur IIS 7.0 2 modes ASP.NET : Mode ISAPI (pour compatibilité) Mode intégré ASP.NET HttpModules directement dans le server Le code du HttpModules ou du Global.asax peut porter sur toutes les requêtes Le serveur peut être étendu ou personnalisé avec du VB ou du C# © 2006 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries. The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.
49
Configuration unifiée
IIS7 fournit aux développeurs et administrateurs un système de configuration unifiée pour le paramétrage d’ASP.NET et de IIS 7.0 sous la forme de fichiers XML. Pour accéder à ces fichiers, IIS 7.0 dispose d’un ensemble de codes managés et d’API de scripting permettant d’agir sur cette configuration IIS 7.0 permet également de stocker la configuration dans un fichier web.config situé dans le même répertoire que le site ou l’application. Ce fichier peut être copié de machine à machine, simplifiant ainsi les déploiements dans des fermes de serveurs Web
50
Hiérarchie des fichiers de configuration
Machine.config Root Web.config ApplicationHost.config Web.config (optionnel) .Net Framework IIS Local ou distant (UNC)
51
Gestion des fermes web – configuration centralisée
Scenario d’usage pour les fermes de serveurs Web Les serveurs web partagent un même fichier de configuration Le fichier de configuration est accessible via un chemin UNC Les paramètres de configuration sont stockées dans le fichier redirection.config Disponible en Workgroup ou AD (compte local ou AD) UNC XML IIS7 AppHost.config IIS7 IIS7
52
IIS 7- Administration Plusieurs méthodes
Console Internet Information Server Manager Outil en ligne de commande : Appcmd.exe Edition manuelle des fichiers XML de configuration API Administration (pour développeurs .Net) API Administration scriptée (pour administrateurs développeurs WMI)
53
Délégation d’administration
La fonction de délégation dans IIS 7 permet : Le verrouillage de sections de configuration pour contrôler quels paramétrages peuvent être définis dans les fichiers web.config (en général, une section de configuration de IIS correspond à un module de IIS) De définir par site et application, les utilisateurs autorisés à utiliser la console IIS Manager pour : Voir la configuration Modifier la configuration des fonctions qui ont leur section "déverrouillée"
54
Sécurité de IIS 7.0 IIS 7.0 a été conçu avec les mêmes exigences et fondamentaux que IIS 6.0 et améliore encore cette approche sécurité sur 3 points : Surface d’exposition réduite IIS 6.0 = verrouillé par défaut IIS 7.0 = installation minimale par défaut Gestion de la sécurité plus flexible Délégation granulaire de l’administration Utilisateur et group par défaut (Built-in) Nouvelles fonctions de sécurité Au revoir URLScan, bonjour Request Filtering Nouveau : Hidden Namespaces
55
Nouveautés du serveur FTP pour IIS 7
3/30/2017 7:51 AM Intégration avec la nouvelle configuration et les outils d’administration d’IIS 7.0 Support des nouveaux standards Internet SSL (FTPS) UTF8 IPv6 Amélioration des environnements hébergés Intégration avec les sites Web Support des noms d’hôtes Isolation des utilisateurs améliorée Extensibilité Authentification personnalisée (utilisation de comptes non-Windows) Commandes personnalisées This new FTP service contains many great new features, such as: Integration of Web sites and FTP sites, allowing you to optionally host Web content and Web authoring on the same site by adding FTP settings. You can still create stand-alone FTP sites, such as download scenarios, but hosting FTP/Web content form the same web site is appealing for hosting scenarios. Adoption of the IIS 7.0 administration and configuration files, allowing .NET-style configuration of your FTP sites and using the new IIS 7.0 administration tool to manage your FTP settings. FTP 7.0 uses IIS 7.0's new XML-based configuration store that is modeled after the ASP.NET configuration. This new model combines configuration settings across the Web platform. FTP 7.0 configuration is stored in the ApplicationHost.config file. By default, the server administrator is the only user who has permission to view and edit the ApplicationHost.config file. Data security through Secure Sockets Layer (SSL) and FTPS. We do not support SFTP, (see later slide.) Support for additional Internet FTP standards such as UTF8 and IPv6. One of the great features of the new FTP service is the ability to configure virtual host names, which enables web hosters to configure multiple FTP sites on a single IP address. The FTP protocol has no actual way of passing the host name like HTTP does, so when using virtual host names the user can enter ftps://ftp.example.com or ftps://mysite.example.com, that doesn’t really matter. What matters is that they enter mysite.example.com|username when they log in. So if I hosted two FTP/Web sites with an ISP, I would enter mysite1.example.com|robert and mysite2.example.com|robert when logging in. Even though user isolation is not turned on, I will be restricted to each of my content roots when I log in. Enhanced user isolation that allows you to create complex hierarchies of virtual directories to lock users into specific content locations. For example, if you don’t use virtual host names mentioned above, you can use user isolation and virtual directories. So you can set up a virtual directory of /domain/username, and then add virtual directories for mysite1.example.com and mysite2.example.com under the virtual root. If you turn on the directory browsing option to display virtual directories, this means that the user will see both of site content roots when they log in, but will be restricted to their virtual root because of user isolation. We have native (COM) and managed-code extensibility that allows developers to extend the functionality for the FTP service for authentication, authorization, home directory lookups, and custom commands. © 2007 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries. The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.
56
Virtualisation Virtualisation
57
Windows Server Virtualization
VM 1 Parent VM 2 Child VM 3 Child Standard Hardware Windows Server 2003 Virtual Server 2005 R2 VM 2 VM 3 Virtualization Platform and Management Windows HyperVisor Intel VT / AMDV Virtual Hard Disks Microsoft Confidential
58
Windows Server Virtualisation
3/30/2017 7:51 AM Objectifs Améliorer les performances : fondé sur un hyperviseur S’ouvrir de nouveaux scénarios d’usage Etendre considérablement la notion de virtualisation de périphériques Définition Hyperviseur : fine couche logicielle situé sous tous les OS Partition parente : une partition qui gère ses enfants Partitions enfant : tout nombre de partitions qui sont démarrées, gérées et arrêtées par leur parent Pile de virtualisation : la collection des composants qui s’exécutent dans la partition parente pour la gestion de la machine virtuelle © 2006 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries. The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.
59
Windows Server Virtualization
Application Invité Operating System Partition Parent Partition Enfant Couche de virtualisation H/W Virtuel VM 2 “Enfant” VM 3 VM 4 Solution de virtualisation Haute performance Disponible avec Longhorn Windows Server 'Longhorn‘ Datacenter Edition : nombre illimité d’instances virtualisées Migration depuis Microsoft Virtual Server R2 VM 1 “Parent” (32-bit et 64-bit) Windows Hypervisor Disponible avec Microsoft Virtual Server 2005 R2 SP1 Windows Hypervisor le supportera Assistance matérielle à la Virtualisation Intel VT/AMD-V Serveur x86/x64 INF210
60
Architecture de Windows Server Virtualization
Partition Parente Partitions Enfant Fourni par : Microsoft ISV OEM Virtualisation Virtualization Stack VM Worker Processes VM Service WMI Provider Applications Mode User Virtualization Service Clients (VSCs) Noyau Windows Enlightenments VMBus Virtualization Service Providers (VSPs) Noyau Windows Server Core IHV Drivers Mode Kernel Hyperviseur Windows Hardware Serveur Designed for Windows
61
Collaboration Microsoft - XenSource
Fourni par: OS MS/XenSource ISV/IHV/OEM Windows virtualization Basic Linux Kernel Applications Windows Kernel Longhorn Server VSP Windows Server 2003, “Longhorn” VSC VMBus Emulation Xen-enabled Linux Kernel Applications VSC VMBus Windows hypervisor “Designed for Windows” Server Hardware INF207
62
Windows Server Virtualization
Virtual Server 2005 R2 SP1 Windows Server Virtualization (Windows Server 2008) Support matériel X86 et X64 X64 exclusivement avec processeurs AMD-V ou Intel VT (IVT) 16 cores pour la V1 Machines virtuelles (VMs) 32-bit ? Oui oui VMs 64-bit ? Non VMs multi-processeurs ? Oui, jusqu’à 4 cœurs (*) Mémoire par VM ? 3.6 Go par VM Maximum 32 Go par VM Ajout à chaud mémoire/processeurs? Oui (V2) Ajout à chaud stockage/réseau? Peut-être administré par System Center Virtual Machine Manager? Live migration (V2) Support de la mise en cluster Scriptable/Extensible? Oui, COM Oui, WMI et APIs Nombre de VMs actives par hôte? 64 sur x86 / 512 pour x64 Autant que le matériel le permet Interface d’administration Interface Web MMC 3.0
63
Sécurité & respect des politiques
64
Objectifs Améliorer la résistance du système par réduction de la surface d’exposition et des vecteurs potentiels d’attaques. Protéger les données et les informations Elever le niveau d’intégrité des réseaux d’entreprise
65
Windows Server 2008 et la sécurité
Résilience du système Intégrité du code Renforcement des services Windows Contrôle de l’usage des périphériques Mise à jour du système Fonctions réseaux Pare-feu bidirectionnel / IPSec Network Access Protection (NAP) User Account Control (UAC) Internet Explorer 7 Filtre Anti-phishing, mode protégé Démarrage sécurisé et chiffrement intégral de volume (BitLocker) Active Directory / Right Management Services Crypto Next Generation, Active Directory / Certificates Services Amélioration de la résistance du système par réduction de la surface et des vecteurs potentiels d’attaques. + Protection des données et informations 65
66
Protection des données avec BitLocker Drive Encryption
3/30/2017 7:51 AM Protection des données avec BitLocker Drive Encryption BitLocker est un moyen de chiffrer intégralement un volume sous Windows Vista et Longhorn L’objectif est de se protéger l’information contenue sur le disque en cas de vol ou d’attaque « Offline » Combiné avec l’utilisation d’un TPM (version 1.2c et plus) En complément du RODC, BitLocker aide à réduire la surface d’attaque des serveurs hébergés dans des locaux moins sécurisés que des centres de données MICROSOFT CONFIDENTIAL © 2006 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries. The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.
67
Crypto Next Generation (CNG)
3/30/2017 7:51 AM Crypto Next Generation (CNG) Nouveau Framework Crypto (par rapport à Crypto API) Simplification du développement de fournisseurs de cryptographiques Capacité en mode noyau et utilisateur d’utiliser ses propres implémentations (y compris algorithmes propriétaires) Implémentation de façon native des algorithmes ECC (ECDSA, ECDH), SHA2 (Suite-B) CNG satisfait les exigences Critères Communs (EAL 4+) et FIPS (140-2 niv 2) pour l’isolation forte et l’audit Et va être soumis pour certification auprès des organismes concernés CNG devient l’API cryptographique recommandée Cryptographic Next Generation Software Development Kit for Windows Vista Complément du Software Development Kit for Windows Vista and .NET Framework 3.0 Runtime Components © 2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.
68
Active Directory Certificate Services
3/30/2017 7:51 AM Active Directory Certificate Services Consiste en 4 services (ou composants) Certification Authority Certification Authority Web Enrollment (CAWE) Online Certificate Status Protocol (OCSP) Nouveau service conforme à la RFC 2560 Microsoft Simple Certificate Enrollment Protocol (MSCEP) Add-on pour Certificate Services de Windows Server 2003 R2 © 2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.
69
Principe de fonctionnement d’OCSP
Serveur avec certificat Répondeur OCSP Réponse OCSP 3 2 1 Requête OCSP 4 Client OCSP
70
AD Right Management Services
AD RMS v2 est une solution de gestion des droits d’utilisation et pas uniquement des droits d’accès offrant une protection contextuelle et persistante Impose le chiffrement du contenu Droits d’usage associés au contenu et pas au système de fichiers offrant protection indépendante de l’emplacement physique de stockage Offre une protection pendant et après la publication AD RMS permet la définition de règles Définition et application à l’échelle de l’entreprise Suivi du cycle de vie de l’information Solution à valeur ajoutée Support via développement de solutions/format tiers Le format XPS facilite l’intégration avec les applications existantes
71
Network Access Protection (NAP)
NAP est composé de composants clients et de composants serveurs qui permettent de définir l’état de conformité logicielle et système souhaité pour les ordinateurs se connectant à un réseau d’entreprise NAP n’est pas conçu pour sécuriser un réseau vis à vis d’utilisateurs malveillants. Il a été conçu pour aider les administrateurs à maintenir la bonne santé des postes sur le réseau, ce qui permet ainsi d’assurer un meilleur niveau d’intégrité sur l’ensemble du réseau de l’entreprise
72
NAP - La surcouche santé des réseaux
3/30/2017 7:51 AM Validation vis à vis de la politique Détermine si oui ou non les machines sont conformes avec la politique de sécurité de l’entreprise. Les machines conformes sont dites “saines” (ou « en bonne santé ») Restriction réseau Restreint l’accès au réseau selon l’état de santé des machines Mise à niveau Fournit les mises à jour nécessaires pour permettre à la machine de devenir “saine”. Une fois “en bonne santé”, les restrictions réseau sont levées Maintien de la conformité Les changements de la politique de sécurité de l’entreprise ou de l’état de santé des machines peuvent résulter dynamiquement en des restrictions réseau © Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.
73
Architecture & principe général
3/30/2017 7:51 AM Architecture & principe général Réseau de l’entreprise Réseau restreint (« quarantaine ») Remediation Servers (antivirus, système de maj de correctifs…) System Health Servers (défini les pré requis du client) Les voici Puis je avoir les mises à jour ? Mise à jour du serveur Radius avec les politiques en cours Demande d’accès ? Voici mon nouveau status Puis je avoir accès ? Voici mon status actuel Est ce que le client doit être restreint en fonction de son status? Vous avez droit à un accès restreint tant que vous n’êtes pas à jour En accord avec la politique, le client n’est pas à jour. Mise en quarantaine et demande au client de se mettre à jour En accord avec la politique, le client est à jour Accès autorisé Client Network Access Device (DHCP, VPN, 802.1x IPSec, passerelle TS) Network Policy Server Le Client obtient l’accès complet au réseau d’entreprise 73 © Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.
74
Composants de NAP PS RS QS SHA SHV QA QEC QES Serveur(s) de politique
Serveur(s) de remèdes Serveur(s) de politique Mises à jour Stratégie de santé États de santé Demandes d’accès au réseau Client Serveur RADIUS Network Policy Server (NPS) Clients d’application (QEC) (DHCP, IPsec, 802.1X, VPN) Certificat de santé Serveur de quarantaine (QS) Agent de quarantaine (QA) Périphériques d’accès au réseau (DHCP, 802.1X, VPN, TS) & Autorité d’enregistrement santé (HRA) Agents de santé (SHA) MS et tiers System Health Validators (SHV) MS et tiers Serveur(s) de politique Policy Server Network Policy Server Quarantine Server System Health Validator Périphériques d’accès au réseau Quarantine Enforcement Server Serveur de remèdes Remediation Server Client System Health Agent Quarantine Agent Quarantine Enforcement Client PS RS QS SHA SHV QA QEC QES
75
Mécanismes de restrictions d’accès
DHCP Le serveur DHCP contrôle l’accès en définissant les routes et les paramètres IP du client DHCP Nécessite une mise à jour du serveur DHCP (Windows Server 2008 ou solution partenaire NAP) 802.1x Ports contrôlés vs ports non contrôlés Quarantaine par mise en place de filtres IP ou par affectation à un VLAN VPN Les serveurs VPN contrôlent l’accès en appliquant des filtres IP Nécessite une authentification basée sur PEAP IPSec Mécanisme d’isolation au niveau hôte Si vous utilisez déjà IPSec pour l’isolation de domaine ou de serveurs
76
Partenaires NAP Antivirus Logiciels de sécurité Correctifs
Équipements de sécurité Périphériques réseau Intégrateurs de systèmes
77
Sécurité Haute disponibilité
78
Objectifs Aider l’administrateur lors de l’installation d’un cluster de ressources Rationnaliser l’outil d’administration Étendre les scénarios d’usage INF210
79
Failover Clustering (WSFC)
Améliorations dans l’installation, l’administration et la migration Assistant de validation (nœud, réseau, stockage) Assistant de création du cluster Nouvelle console d’administration Administration améliorée au travers de WMI Sécurité Le service cluster n’utilise plus de compte de service mais le compte LocalSystem Stabilité Nouveau modèle de quorum Support des disques GPT (taille > 2 To) INF210
80
Validation de la configuration
81
Installation cluster INF210
82
Nouvelle console MMC Cluster Administrator aujourd’hui… INF210
83
A retenir sur le cluster (WSFC)
3/30/2017 7:51 AM A retenir sur le cluster (WSFC) Jusqu’à 16 nœuds sur un serveur x64 !!!! Validation du Cluster : nœuds, disques et réseau Installation : Simplifier, valider et déployer Outils d’administration : Console MMC, ligne de commande cluster.exe, WMI, support des clichés instantanés Réseau : Support IPv6, DHCP pour IPv4, plus de dépendance NetBIOS Outil de migration de MSCS 2003 vers WSFC Modèle de sécurité : Plus de compte de service cluster Modèle de Quorum : Eliminer le SPOF Géo-Cluster : battement de cœur (heartbeat) sur UDP et configurable, nœuds sur des segments réseau différents Stockage : Fiber channel, iSCSI, SAS (Serial Attached SCSI), mode de maintenance © 2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.
84
3/30/2017 7:51 AM Synthèse © 2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.
85
Pour résumer: Windows Server 2008 en 3 points
Contrôle Protection Renforcement de l’OS Réduction de la surface d’exposition Contrôle d’accès Chiffrement Déploiement et administration Installation et supervision par types d’utilisation (“rôles”) Flexibilité Virtualisation Accès à distance aux applications Infrastructure Web Déploiement accéléré INF210
86
Fonctionnalités complètes
Feuille de route avril 2007 Fonctionnalités complètes 2ème semestre 2006 Sept 2005 Disponibilité H1 2008 INF210
87
Ressources utiles Blog :
Présentations similaires
© 2024 SlidePlayer.fr Inc.
All rights reserved.