Partie 1 : Initiation à la création des éléments Azure.
Auteur: Jérémy Leflon – Jeremy.Leflon@microsoft.com
Microsoft a mis à disposition des exploitants Azure un set de Cmdlet PowerShell permettant la création et la gestion des objets Azure. L’objectif de cet article est de présenter les commandes principales à utiliser par les administrateurs pour la création des machines virtuelles dans les cloud services correspondants.
Cet article se consacre à la gestion des artefacts suivants :
Groupes d’affinités,
Cloud Services,
Comptes de stockage,
Machine Virtuelles et groupes de disponibilité
Disques de données supplémentaires
Prérequis pour l’accès à la souscription Azure
Téléchargez et installez le module Windows Azure PowerShell à travers le Microsoft Web Platform Installer (http://azure.microsoft.com/en-us/documentation/articles/install-configure-powershell/).
Plus d’informations sont disponibles sur : http://azure.microsoft.com/en-us/documentation/articles/install-configure-powershell/
Pour utiliser le module de cmdlets PowerShell pour Azure, il faut ouvrir le raccourci « Windows Azure PowerShell » ou importer le module Azure PowerShell dans votre prompt PowerShell ou ISE par la commande suivante :
Import-Module "C:\Program Files (x86)\Microsoft SDKs\Windows Azure\PowerShell\ServiceManagement\Azure\Azure.psd1"
Être administrateur de la souscription Azure
Connexion à la souscription Azure
Source : http://azure.microsoft.com/fr-fr/documentation/articles/install-configure-powershell/
Les opérations de gestion de la souscription nécessite une authentification préalable auprès du service Azure.
Pour cela, il existe deux méthodes d’authentification à la souscription Azure :
Import-AzurePublishSettingsFile « Chemin du file-credentials.publishsettings »
1 Sélection de la souscription d’exécution
Suite à l’authentification de l’utilisation à la plateforme Azure, il est nécessaire de préciser la souscription d’exécution si vous êtes administrateur de plusieurs plateformes.
Pour sélectionner la souscription, exécutez la cmdlet suivante :
Définition Variable prérequis
$mySubscription
Cmdlet :
select-azureSubscription $mySubscription
Pour connaître la liste des souscriptions Azure disponible pour le compte authentifié, utilisez la cmdlet suivante
Get-AzureSubscription
2 Création des artefacts de la souscription
2.1 Création des groupes d’affinités
Les groupes d'affinités permettent de regrouper les services qui doivent fonctionner ensemble afin d'optimiser les performances. Cela permet de réduire la latence et augmente les performances.
Référence : http://msdn.microsoft.com/fr-fr/library/windowsazure/jj156085.aspx
La création d’un groupe d’affinité est un prérequis à la création des Cloud Services.
$affinityGroupName : nom du groupe d’affinité du service
$location : « West Europe » / « North Europe » …
$label : Label du groupe d’affinité – visible en PowerShell
$description : Description du groupe d’affinité – visible en PowerShell
New-AzureAffinityGroup -Name $affinityGroupName -Location $location -Label $label -Description $description
2.2 Création de Cloud Service
Le cloud service Azure est un ensemble regroupant d’autres artefacts azure, joignables par l’intermédiaire du Cloud Service qui porte une adresse publique.
Le nom du service de cloud sera unique et sous la forme {$cloudServiceName}.cloudapp.net
$cloudServiceName : nom du Cloud Service à créer
New-AzureService –ServiceName $cloudServiceName –AffinityGroup $affinityGroupName
2.3 Création des comptes de stockage
Azure fournit 3 types de comptes de stockage, de façon à laisser le choix en termes de performances et sécurité la main mise sur leur infrastructure :
LRS : Locally Redundant Storage : Toutes les données stockées sont répliquées de manière synchrone sur trois nœuds de stockage différents dans la même région
10 Gbps en entrée
15 Gbps en sortie
GRS : Geo-Redundant Storage : En plus de la réplication sur trois nœuds de stockage comme sur le LRS, les transactions sont aussi mises en queues pour une réplication asynchrone sur une seconde région où les données sont aussi stockées sur trois autres nœuds de stockage.
5 Gbps en entrée
10 Gbps en sortie
RA-GRS : Read-Access Redundant Storage
Même capacités de transfert que le GRS.
Un accroissement des vitesses de lecture / disponibilité.
Note : Par défaut, les comptes de stockage sont créés en GRS.
$storageAccountName="nomduStockage"
$storageAccount_Description="Description du Stockage"
$affinityGroupName
Cmdlet
new-azurestorageaccount -storageaccountname $storageAccountName -AffinityGroup $affinityGroup
set-azurestorageaccount -storageaccountname $storageAccountName -description $storageAccount_Description
Pour définir un compte de stockage en LRS :
Set-AzureStorageAccount -StorageAccountName $storageAccountName -GeoReplicationEnabled $false
Informations complémentaires : http://blogs.msdn.com/b/windowsazurestorage/archive/2013/12/04/introducing-read-access-geo-replicated-storage-ra-grs-for-windows-azure-storage.aspx
2.4 Création des machines virtuelles
2.4.1 Description des Availability Set
Pour garantir la disponibilité des ressources, Azure met à disposition une fonctionnalité gérant un couche supplémentaire de redondance appelée “Availability Set”.
Ce mécanisme va forcer l’exécution de 2 machines virtuelles opérant les mêmes fonctions ou services sur au moins deux hyperviseurs différents de façon à garantir le niveau de service.
Dans le schéma suivant, les machines virtuelles tournent sur 2 « Racks » au sens physiques du terme.
2.4.2 Définition de l’image disque source
Les machines virtuelles sont provisionnées avec une image OS. La liste des noms des images sources peuvent être récupérées par l’utilisation de la cmdlet :
Get-AzureVmImage
Pour éviter de parcourir l’ensemble des éléments, il est possible d’utiliser la commande suivante pour variabiliser le nom de la dernière image Windows Server 2012 par exemple :
$imageName=(Get-AzureVMImage -Verbose:$true | Where-Object {$_.label -like “Windows Server 2012 R2 Datacenter*”}| Sort-Object –Descending PublishedDate)[0].ImageName
2.4.3 Création de la configuration de la machine
Avant de provisionner la machine, il est nécessaire de configurer l’élément à l’aide de la cmdlet New-AzureVMConfig sur lequel vous pouvez Piper le cmdlet Add-AzureProvisioningConfig permettant de définir des informations systèmes (nom et mot de passe de l’administrateur), la timezone de la machine.
Il est aussi possible d’y ajouter les informations réseaux tels que le subnet d’appartenance et l’adresse IP fixe de la machine (cas des contrôleurs de domaine).
Note : le currentStorageAccount de la souscription utilisée doit être provisionnée
Définition des variables :
#Information de connexion :
$subscription : Souscription de creation de machine
#information sur la machine à créer
$cloudServiceName : Nom du cloud service pour la machine
$NomVm : nom de la machine virtuelle cible
$storageAccountName : Nom du compte de stockage du disque OS de la machine
$size : taille de la machine : Small / Large / A6/A7/A8
$availSet : nom du groupe de disponibilité de la machine
#information sur le disque OS
$diskName : nom du disque utilisé pour le stockage
$diskLabel = $diskName + "- OS"
$urlMedia = “https://"+$storageAccountName+”.blob.core.windows.net/vhds/”+$diskName+”.vhd”
#Information OS Windows
$admUser : nom du compte administrateur local
$admPwd : mot de passe du compte administrateur local
$timeZone : Nom de la zone time pour la machine ("Romance Standard Time" pour Paris par ex)
#Information Réseau
$vNET : nom du réseau virtuel d’appartenance
$subnetName : nom du subnet d’appartenance de la machine
$staticIP : adresse IP de la machine
Le script ci-dessous créé la machine correspondant aux paramètres définis plus haut :
$VM1 = New-AzureVMConfig -Name $NomVm -InstanceSize $size -ImageName $imageName -DiskLabel $diskLabel –MediaLocation $urlMedia -AvailabilitySetName $availSet `
| Add-AzureProvisioningConfig -adminUserName $admUser -Password $admPwd -Windows -TimeZone $timeZone `
| Set-AzureSubnet -SubnetNames $subnetName `
| Set-AzureStaticVNetIP -IPAddress $staticIP
New-AzureVM -VMs $VM1 -ServiceName $cloudServiceName –VnetName $vNET
Note : si le currentStorageAccount n’est pas défini, il est possible que le script décrit ne s’exécute pas et l’erreur PowerShell suivante se produit :
Pour connaitre la valeur de cet attribut, utilisez la ligne de commande PowerShell suivante :
Pour résoudre cette erreur, tapez la commande suivante :
set-AzureSubscription -SubscriptionName $subscription -CurrentStorageAccount $storageAccountName
3 Ajout d’un disque de données
Chaque machine virtuelle créée possède un disque OS et un disque non persistent. Pour ajouter un disque de données persistant supplémentaire, il est possible d’ajouter des volumes par l’utilisation de cmdlet PowerShell.
En plus des variables définies précédemment, les variables suivantes doivent être provisionnées :
$storageAccountName : Nom du compte de stoickage Cible
$vmName : Nom de la machine virtuelle
$cloudServiceName : Nom du cloud Service
$typeDisk : Type de disque pour information ("DATA"/"LOG"/"BACKUP"...)
$diskSize : Taille de l’espace disque du volume à créer en Go
$lunID : Index de LUN (3/4/5…)
$diskNameDataDisk= $vmName+ « . » + $typeDisk Nom du disque généré automatiquement
$urlMediaDataDisk = « https:// » +$storageAccountName+ «.blob.core.windows.net/vhds/”+$diskName+”.vhd” URI d’accès au fichier VHD généré automatiquement pour le disque supplémentaire
Création du disque supplémentaire et rattachement à la VM :
Get-AzureVM -ServiceName $cloudServiceName -Name $vmName `
| Add-AzureDataDisk -CreateNew -DiskSizeInGB $diskSize -LUN $lunID -MediaLocation $urlMediaDataDisk -DiskLabel $diskNameDataDisk`
| Update-AzureVM
- Commande Get-AzureVM
Le paramètre -ServiceName correspond au nom du Cloud Service
Le paramètre -Name correspond au nom de la VM
- Commande Add-AzureDataDisk
Le paramètre -CreateNew est obligatoire
Le paramètre -DiskSiezInGb indique la taille du disque en GB
Le paramètre -LUN correspond au numéro d'attachement du disque (cf Raw Device mapping), cet index doit être incrémenté à chaque disque ajouté.
Le paramètre -MediaLocation correspond à l'URL du disque virtuel VHD.
Voilà qui clôture le premier billet sur la création des artefacts IaaS sur Azure.
Jérémy Leflon – Jeremy.Leflon@microsoft.com
Le rapport Microsoft sur la sécurité des données (Microsoft Security Intelligence Report) étudie les vulnérabilités logicielles, leurs exploitations, ainsi que les logiciels potentiellement indésirables.
Le volume 13 du rapport est disponible depuis fin 2012, il couvre la moitié de l'année calendaire 2012 (janvier à juin) et aborde les points suivants :
La catégorie des menaces la plus fréquemment signalée en 1H12 était Win32/Keygen ; qui des outils qui génèrent des clés pour différents logiciels. De plus, Keygen a été reconnu en tant qu’une des 10 principales menaces pour 98% des 105 pays / régions étudiées dans le SIR v13.
À noter que la menace ne provient pas directement du Keygen, de la musique ou des films, mais des malwares cachés dans ces éléments.
En 1H12, plus que 76% des ordinateurs ont été touchés par des Keygen et d’autres familles de malware, un pourcentage qui reste assez élevé.
Les industries ont eu une hausse de vulnérabilité de 11,3% depuis 2H11 comme on peut le voir sur le graphique suivant.
Le taux de vulnérabilité du système d'exploitation a chuté à son plus bas niveau depuis 2003, tandis que les vulnérabilités des navigateurs Web poursuivent une tendance à la hausse depuis quelques années.
Les sujets les plus concernés par les attaques sont HTML/JavaScript et Java.
La Corée, le Pakistan, la Turquie et la Palestine font partie des pays présentant des taux d’infection très élevés (> à 10%, qui est le taux moyen d’infection mondial).
D’autres pays par contre, présentent des taux d’infection plus faibles que le taux moyen d’infection mondial tel que la Chine, le Japon, la Finlande et le Danemark.
SIR permet aux clients de protéger leurs organisations, leurs logiciels et leurs employés.
Au niveau organisationnel
Au niveau individuel
Garder tous les logiciels des systèmes à jour (Systèmes tiers, ainsi que Microsoft)
A noter qu’à partir du 8 avril 2014, Microsoft ne fournira plus de support pour les utilisateurs de Windows XP. Cela signifie que les clients et les partenaires ne recevront plus de mises à jour de sécurité pour le système d'exploitation et ils ne seront plus en mesure d’avoir le support technique de Microsoft à partir de cette date.
Faire preuve de prudence lorsque l’on clique sur les liens vers des pages Web
(Être prudent avec les pièces jointes et les transferts de fichiers)
Utiliser Microsoft Update, pas Windows Update
(Les mises à jour concernent tous les logiciels Microsoft)
Éviter de télécharger des logiciels piratés
Exécuter un logiciel antivirus auprès d'un fournisseur de confiance
(Et le tenir à jour)
Se protéger contre les attaques d'ingénierie sociale
Sally MAHAMDEH – Consultante Sécurité & Identité
Microsoft a publié en décembre dernier un document technique expliquant les mesures de protection à prendre pour se prémunir des attaques utilisant le mécanisme PtH (Pass The Hash).
On assiste en effet depuis environ deux ans à une aggravation sans précédent des activités criminelles sous la forme d’attaques depuis Internet, visant la propriété intellectuelle des entreprises et des administrations.
Ces attaques visent dans la quasi-totalité des cas à voler des documents concernant un sujet précis en fonction de l’ordre du commanditaire.
Ces attaques, qui sont de véritables opérations professionnelles d'espionnage, réussissent avec une facilité déconcertante car les entreprises ne sont pas protégées contre des attaques d’un tel niveau, bien au-dessus des divers virus qui ont longtemps été l’illustration d’une conception artisanale d’actes malveillants.
L’analyse des attaques montre une préparation méthodique et une détermination sans faille pour pénétrer le réseau interne, s’installer puis s’approprier les privilèges de comptes d’administration afin d’accéder ensuite aux informations qu’il n’y a plus qu’à faire sortir par le même chemin (Internet). La discrétion est le propre de ces attaques sophistiquées et persistantes (Advanced Persistent Threats) qui peuvent durer plusieurs années sans que personne ne s’en rende compte.
La facilité pour mener avec succès de telles attaques a été facilitée par la mise à disposition sur Internet d’outils permettant de récupérer très facilement l’identité (credentials) des comptes privilégiés qui ont accès par défaut à beaucoup d’ordinateurs des entreprises.
Ce mécanisme s’appelle "Pass the Hash" car il permet de récupérer ces identités depuis la mémoire d’un ordinateur sous la forme d’un hash, c’est-à-dire d’un authentifiant lié au mot de passe d’un compte utilisateur.
L’analyse des attaques montre que ce mécanisme "Pass the Hash" est utilisé dans la grande majorité des attaques afin de permettre à l’attaquant qui a réussi à prendre pied sur un poste de travail d’étendre son emprise sur votre infrastructure :
Pour savoir si vous êtes concerné, demandez-vous simplement si de temps en temps un administrateur informatique de votre société ne va pas s’authentifier avec son compte privilégié sur des postes de travail standards, qui ont accès à Internet.
Cette façon de faire qui est malheureusement courante, associée au trop grand nombre souvent observé de comptes privilégiés, suffit à faire de votre entreprise une proie facile si elle devenait la cible d’une attaque. En fait, il suffit d’un instant à un logiciel malveillant présent sur un poste pour acquérir les privilèges de ce compte, et de quelques minutes pour se rendre maître de votre infrastructure informatique, et en plus à votre insu.
Face au décalage entre les pratiques qui avaient cours jusqu’à présent et la gravité extrême de ces attaques, il faut un changement de comportement pour s’en protéger.
Afin de vous aider, Microsoft a donc publié le document Mitigating Pass-the-Hash (PtH) Attacks and Other Credential Theft Techniques qui contient les principes à appliquer ainsi que les procédures pas à pas à dérouler dans votre infrastructure.
Les mesures qui sont expliquées dans ce document visent à empêcher la réussite des attaques utilisant le mécanisme "Pass the Hash", notamment en protégeant les comptes privilégiés.
Le document qui est très pédagogique, contient les procédures pas à pas à dérouler, de façon à ce que vous puissiez très vite vous organiser pour planifier leur mise en œuvre.
Les actions sont classées dans les quatre catégories suivantes :
Ces actions sont passées en revue dans les paragraphes ci-dessous.
L’objectif est ici de se protéger contre les élévations de privilèges avec les mesures suivantes :
L’objectif est ici de se protéger contre les mouvements latéraux avec les mesures suivantes :
Blocage du trafic entrant sur les postes de travail avec le pare-feu Windows
L’objectif est ici aussi de se protéger contre les mouvements latéraux avec un compte qui aurait été attaqué, avec la mesure suivante :
Il s’agit de mesures venant renforcer les actions ci-dessus :
Une fois réalisée la prise de conscience de la gravité des attaques PtH, il faut vraiment changer d’attitude face aux risques encourus par votre infrastructure informatique en :
Ces mesures, à la fois techniques et concernant la manière d’administrer votre infrastructure, renforceront votre protection contre les attaques PtH.
Renaud Depagne - Consultant Senior II MCS France.
Quelles sont les nouveautés apportées par le SP2 ? http://technet.microsoft.com/en-us/library/jj590875.aspx.
Outre un support amélioré de Sharepoint 2010 et de systèmes d’exploitation d’appareils mobiles (Windows Phone 7.5, iOS 5.X pour iPone et iPad, Android 4.X pour smartphones et tablettes), le SP2 apporte principalement des fonctionnalités autour de la publication d’applications « claims-aware » avec ADFS 2.0. Il est désormais possible :
Partons du constat suivant : si la gestion du cycle de vie des identités « employés internes » et de leurs droits d’accès est un challenge pour les entreprises, c’est presque mission impossible pour des identités externes. Or aujourd’hui, les scénarios suivants sont monnaie courante :
1. Donner/Contrôler un accès à des utilisateurs externes (partenaires, fournisseurs) à des sites et services hébergés sur un intranet de l’entreprise
2. Faciliter l’accès des employés depuis l’intranet ou en mobilité à des sites et services hébergés en externe (clouds publics ou privés)
3. Proposer un accès contrôlé à tout type d’utilisateur (interne ou externe) à certains sites web hébergés sur un intranet. Dans un contexte BYOD (Bring Your Own Device), les composants clients peuvent être utilisés pour contrôler l’accès en fonction de caractéristiques du device (non disponible aujourd’hui pour les OS mobiles).
Déployer Forefront UAG 2010 SP2 avec ADFS 2.0 permet de proposer une solution technique à ces besoins, et nous allons voir comment. L’article suivant fait référence concernant l’interopérabilité UAG et ADFS (http://blogs.technet.com/b/edgeaccessblog/archive/2010/04/14/forefront-uag-and-adfs-better-together.aspx), cependant avec le SP2 d’UAG il est désormais possible d’utiliser un ADFS Proxy dans l’architecture.
Forefront UAG fournit les fonctionnalités portail, reverse proxy et contrôle d’accès (authorization and endpoint policies). ADFS est quant à lui la brique de fédération : consommation, génération et transformation de jetons contenant des claims, utiles à l’authentification et l’autorisation des utilisateurs.
Ci-dessous un exemple de scénario :
Notez qu’il est possible de publier le serveur au travers d’UAG si le déploiement d’un serveur ADFS Proxy n’est pas souhaité.
Enfin, la relation de confiance avec le partenaire peut être établie avec des passerelles de fédération tierces, autres qu’AD FS. Les guides How-To sur Technet détaillent notamment l’interopérabilité avec les solutions RSA SecurID, IBM Tivoli Federated Identity Manager, Ping Identity, CA Federation Server, Oracle Identity Federation, Shibboleth 2 : http://technet.microsoft.com/en-us/library/adfs2-step-by-step-guides(v=WS.10).aspx.
Grâce à la publication d’ADFS via ADFS Proxy, il devient possible d’utiliser cette architecture simplement pour donner accès aux internes à des applications cloud. UAG peut être alors utilisé par exemple pour rediriger les utilisateurs sur des applications internes (par exemple Sharepoint Online qui ferait référence à des liens sur une application publiée par UAG). L’employé bénéficie ainsi d’un SSO entre les applications internes et cloud.
Lorsque l’on donne accès à une application à travers un portail UAG, il est possible de régler différents paramètres d’authentification et d’autorisation. En plus du résultat dépendant du jeton de sécurité fourni (claim d’authentification et claims d’attributs), il est possible de configurer dans UAG des règles spécifiques au client utilisé. L’intérêt de la solution est l’application d’une politique de sécurité d’entreprise ; les devices considérés comme non sûrs et où l’information pourrait être détournée sont interdits d’accès.
Les informations sur le device peuvent être transmises via deux technologies :
Forefront UAG sait donc s’adapter en fonction du device. La matrice de compatibilité complète est disponible ici : http://technet.microsoft.com/en-us/library/dd920232.aspx
Dans l’exemple ci-après, on aurait :
Bien entendu, la fédération n’est pas indispensable ici et il est tout à fait possible d’adapter le scénario avec d’autres types d’authentification au niveau du portail UAG. La liste est disponible ici : http://technet.microsoft.com/en-us/library/dd861486.aspx.
Ces scénarios rappellent les intérêts principaux de la solution couplée ADFS / UAG, à savoir :
Enfin il faut noter qu’il est possible :
Il est alors presque indispensable de mettre en œuvre une solution supplémentaire de provisioning comme Forefront Identity Manager pour la gestion de ces comptes supplémentaires, et/ou d’AD RMS pour la protection des données.
François TACHOIRES - Consultant Sécurité
Suite à l’annonce de l’arrêt du produit Forefront TMG (http://blogs.technet.com/b/server-cloud/archive/2012/09/12/important-changes-to-forefront-product-roadmaps.aspx), faisons un point sur les solutions Microsoft de proxy / firewall / accès distant. Les éléments importants à retenir sont :
Si vous utilisez Forefront TMG en tant que firewall, VPN site-à-site ou forward proxy web (filtrage d’URL, inspection), vous continuerez à bénéficier du support de Forefront TMG comme indiqué précédemment.
Pour un accès au réseau interne pour des employés en mobilité, la solution autrefois basée sur le couple Forefront UAG / DirectAccess est désormais à déployer de préférence avec Windows Server 2012. En effet, le nouveau rôle Remote Access dans Windows Server 2012 permet de mettre en œuvre DirectAccess ou un VPN, plus simplement et avec son lot d’améliorations.
Pour les autres besoins de mobilité, dans lesquels on souhaite publier des applications web à diverses populations, Forefront UAG reste la solution recommandée par Microsoft, en raison de ses services de sécurité applicative, de single sign on et surtout car nos équipes valident nos solutions exclusivement sur cette plateforme. Si vous utilisiez TMG pour publier des applications web de l’entreprise, vous pouvez envisager une migration vers Forefront UAG, plus adapté pour sur ce type de scénario et toujours maintenu.
Forefont UAG vous permet principalement de mettre à disposition de vos employés, partenaires et fournisseurs un portail d’accès aux applications internes que vous souhaitez partager. Les points forts de la solution sont :
François TACHOIRES - Consultant Sécurité.
Bonjour,
Dans mon dernier blog nous avions vu en quoi consistait les modes en ligne à hors ligne. Cette fois je vous propose de regarder le passage d’un mode à l’autre.Il existe plusieurs évènements pouvant déclencher le passage du mode en ligne au mode hors ligne. Les sections suivantes décrivent les différentes transitions (passage d’un état en ligne à un passage hors ligne).
Etat initial en ligne (online)
Lorsqu’un utilisateur ouvre une session sur son poste de travail l’état du cache client est en ligne (online) sauf si l’état était hors ligne (offline) avant le démarrage du poste de travail (l’état hors ligne étant persistent au redémarrage du poste de travail).
Passage en mode hors ligne (offline)
Les différents modes de transition de l’état en ligne à l’état hors ligne sont :
Passage automatique en mode hors ligne (offline)
Ce scénario se produit par exemple lorsque la connectivité réseau est totalement perdue (le câble réseau a été débranché, la connexion à l’Access Point WIFI est perdue, la carte 3G est déconnectée etc…). Si la connectivité réseau est perdue, le statut des fichiers et des répertoires passe en état : “Offline (not connected)”.
En effet, lorsqu’une requête en ouverture (READ/WRITE) est envoyée au serveur de fichier, la requête est transportée par le protocole SMB au travers des différentes couches réseau du système d’exploitation client puis envoyée sur le media (filaire ou radio) et enfin acheminée à destination jusqu’au serveur de fichiers. Après une phase d’authentification, le serveur traite la requête et retourne le résultat au client. Si la couche réseau rencontre une erreur d’accès au partage ou au serveur de fichiers, le driver CSC côté client vérifie si le fichier requis est dans le cache local du client. Si le fichier existe dans son intégralité, le driver CSC ouvre automatiquement une copie locale du fichier pour satisfaire la requête. Ce mécanisme est transparent pour le processus qui est à l’origine de la requête en ouverture (READ/WRITE).
Cette séquence d’évènements c’est-à-dire une requête d’un fichier distant suivie de la détection d’une erreur réseau et l’utilisation d’une copie locale du fichier constitue ce que l’on appelle communément une « transition automatique en mode hors ligne » (Automatic Offline Transition). Chaque requête suivante à des objets partageants le même contexte sera satisfaite par le cache local sans tentative de reconnexion au serveur.
Passage en mode hors ligne (offline) forcé par l’utilisateur
L’utilisateur peut forcer le passage en mode hors ligne en appuyant sur le bouton « Work Offline » comme indiqué dans la capture d’écran suivante :
Le répertoire sélectionné et tous ses sous-répertoires sont passés en statut « hors ligne » (offline).Le répertoire reste en l’état « hors ligne » jusqu’ à ce que l’utilisateur sélectionne le bouton « Work online » telle qu’illustré dans la capture d’écran suivante :
L’état Offline est persistent au redémarrage du poste de travail et s’applique à tous les utilisateurs qui établissent une session sur le poste de travail.
Gestion des fichiers hors ligne (offline files)
Il est possible de gérer les fichiers hors ligne de deux manières :
Les fichiers hors ligne peuvent être gérés de manière centralisée via les GPOs Active Directory suivantes (aussi bien au niveau utilisateur qu’au niveau machine) :
Note : Un utilisateur standard peut forcer le passage en mode offline, cette action ne nécessite pas de privilèges administrateur.
François VASSE – Consultant Sécurité & Identité
L’équipe produit a officialisé la sortie de Forefront Identity Manager 2010 R2 sur son blog : http://blogs.technet.com/b/server-cloud/archive/2012/06/14/forefront-identity-manager-2010-r2-now-available.aspx. FIM 2010 R2 (http://www.microsoft.com/fim) est téléchargeable sur MSDN depuis le 1er juin.
Avec Microsoft BHOLD Suite désormais disponible, Microsoft propose aujourd’hui un produit avec un spectre complet de fonctionnalités pour gérer le cycle de vie des identités.
Les nouveautés apportées par la R2 sont listées ici : http://technet.microsoft.com/en-us/library/jj133868(v=ws.10). La procédure d’installation de Microsoft BHOLD Suite est décrite sur technet : http://technet.microsoft.com/en-us/library/jj134096.
La suite comprend les modules suivants :
Comment BHOLD s’intègre-t-il avec FIM ?
Réponse : les rôles sont modélisés dans une base de données dédiée, et ces informations sont ajoutées au metaverse via un Management Agent fourni. La modélisation est soit manuelle, soit automatique avec le générateur dédié.
Avec le duo FIM 2010 R2 et Microsoft BHOLD, les problématiques suivantes sont donc adressables :
Les avantages principaux de la solution sont une excellente intégration avec l’écosystème Microsoft Active Directory / Exchange, sa robustesse issue d’un moteur de synchronisation MIIS éprouvé depuis des années, et son déploiement rapide à fort ROI.
François Tachoires, Consultant Sécurité & Identité
Nombre d’organisations et d’universités utilisent le composant open-source JASIG Central Authentication Service (CAS) pour l’authentification SSO à leurs applications Web. Le composant CAS JASIG ne supporte pas nativement les différents profils SAML 2.0 ou le protocole WS-Federation ; par ailleurs AD FS 2.0 ne supporte pas nativement l’ajout d’autres référentiels d’authentification autrement que par l’ajout de Claims Providers.
La problématique est donc posée pour assurer l’interopérabilité entre les deux mondes.
L’une des pistes envisageables est d’associer :
CAS est un protocole de Single Sign-On pour le web. Non seulement cela permet à l’utilisateur de s’authentifier une seule fois dans une session web, mais aussi les applications web n’ont plus à gérer un mot de passe pour l’utilisateur. Cette solution est assez largement déployée dans les universités. Ce composant est téléchargeable sur le site du projet : http://www.jasig.org/cas.
Microsoft Windows Identity Foundation est un framework fournissant des APIs pour développer des applications de fédération ou « claims-aware », c’est-à-dire capables de consommer des revendications contenues dans un jeton envoyé par un fournisseur de confiance. Il est téléchargeable ici : http://www.microsoft.com/en-us/download/details.aspx?id=4451. Il sera inclus dans Microsoft .NET Framework 4.5.
Active Directory Federation Services 2.0 permet aux organisations d’homogénéiser l’expérience des utilisateurs, qu’ils accèdent à des applications hébergées sur site ou dans le nuage. De plus la collaboration hors des frontières est facilitée grâce à l’interopérabilité avec SAML et WS-Federation.Notez que l’update rollup 2 a été publié le 14/05/2012, avec la correction de 4 bugs et l’ajout d’une fonctionnalité, à savoir le support du paramètre RelayState pour SAML (voir Supporting Identity Provider Initiated RelayState). Il est disponible ici : http://support.microsoft.com/kb/2681584.
Comment effectuer l’intégration?
Créer un nouveau Web Site à partir du template ASP.NET Security Token Service Web Site.Pour vos tests vous pouvez également utiliser le template « Claims-Aware ASP.NET Web Site » pour avoir une application consommatrice de jetons, ou bien un des exemples fournis avec un WIF.
Redirection de l’utilisateur
Quand l’utilisateur arrive sur la page login.aspx du Custom STS, on le redirige sur l’URL d’authentification CAS https://cas.server/cas/serviceValidate?service=<URL du custom STS>, à l’aide du code suivant :
string signInUrl = System.Configuration.ConfigurationManager.AppSettings.Get("SignInURL").ToString();signInUrl = signInUrl + "?service=" + returnUrl;Response.Redirect(signInUrl, false);
SignInURL est de la forme suivante :
<add key="SignInURL" value="https://cas.server/cas/login" />
Valdiation du ticket CASL’utilisateur est redirigé par CAS avec un ticket. Il s’agit ensuite de faire valider auprès de CAS par le Custom STS si ce ticket est bien valide. Pour cela il suffit de soumettre ce ticket à CAS dans ure requête POST à l’URL https://cas.server/cas/serviceValidate?service=<URL du custom STS>&ticket=<numéro du ticket>. La réponse est contenue dans un XML de cette forme :<cas:serviceResponse xmlns:cas="http://www.yale.edu/tp/cas"><cas:authenticationSuccess><cas:user>user</cas:user></cas:authenticationSuccess></cas:serviceResponse>
Génération d’un jetonSi le ticket est bien valide, on génère un jeton avec les claims souhaitées. Ici nous avons seulement l’identifiant de l’utilisateur que l’on peut placer dans une claim de type NameId par exemple. Il est recommandé également de générer une claim de type Authentication pour déclarer que l’utilisateur a bien été authentifié par CAS. Le jeton généré contient alors les claims suivantes :
Publication des metadataRégénérer des metadata correspondant à votre Custom STS. Vous remarquerez qu’à la création, un fichier xml de metadata est automatiquement généré. Le plus simple pour l’actualiser, est d’utiliser l’utilitaire suivant : http://static.thinktecture.com/christianweyer/FederationMetadataGenerator_1.0.zipAttention, il est nécessaire de bien faire correspondre la clé du web.config <add key="IssuerName" value="https://sts.contoso.com/STSWebSite"/> avec l’ID publié dans les metadata.
Custom STS comme Claims Provider TrustIl suffit d’ajouter un nouveau Claims Provider Trust en suivant l’assistant, et en fournissant l’URL des metadata du Custom STS et des règles doivent être ajoutées pour indiquer quelles claims sont reçues du Custom STS. Des règles de transformation peuvent être ajoutées à ce niveau.
Application comme Relying PartyL’application doit être ajoutée en tant que Relying Party et des règles doivent être ajoutées pour indiquer quelles claims sont transmises à l’application (en fonction de ce dont elle a besoin). Des règles de transformation peuvent être ajoutées à ce niveau également.
Le diagramme suivant récapitule les flux en jeu. Notez que la première fois, l’utilisateur devra choisir son fournisseur d’identité dans une liste déroulante, car AD FS fonctionne nativement avec Active Directory (Claims Provider par défaut).
Cet article montre comment utiliser l’authentification CAS dans un contexte de fédération AD FS, grâce à la mise en place d’un composant « Custom STS ». Il est sans doute également possible de modifier certaines pages ASP d’AD FS, la solution de l’article présentant l’avantage de conserver la configuration de base AD FS. Il est par ailleurs envisageable de réutiliser cette architecture avec d’autres sources d’authentification, comme un annuaire LDAP par exemple.
Nicolas Mangin, Félix Ndouga, François Tachoires
Le 25 Avril 2012, Microsoft a publié un nouveau volume du rapport de sécurité Microsoft Intelligence (SIRv12), ce dernier constate que le virus Conficker a été détecté environ 220 millions de fois dans le monde entier pendant ces trois dernières années, ce qui en fait un des plus grands dangers qui menace actuellement les entreprises.
L'étude a également révélée que le virus Conficker continue à se propager en raison de mots de passe faibles ou volés et des vulnérabilités pour lesquelles des mises à jour de sécurité Microsoft existent déjà.
Microsoft recommande à ses clients et aux entreprises en général de respecter les principes fondamentaux de sécurités suivantes afin de s'assurer qu'elles sont protégées:
Pour les entreprises, Microsoft recommande une approche plus holistique de la gestion des risques pour aider à protéger contre les attaques à grande échelle et ciblée, y compris ce qui suit:
Prévention : respect des principes de sécurité fondamentaux et attention particulière à la gestion des configurations et au déploiement régulier des mises à jour de sécurité
Détection : surveillance attentive et analyses poussées afin d’identifier les menaces. Les entreprises doivent se tenir informées des événements de sécurité et s’appuyer sur des analyses de sécurité dignes de confiance
Isolation : l’entreprise visée doit configurer son environnement pour faire face à d’éventuelles attaques ciblées menées par des adversaires déterminés. Il est possible d’isoler les activités de l’attaquant afin de prendre le temps d’identifier et de contrecarrer l’attaque pour en minimiser l’impact. Pour isoler une attaque, il convient de concevoir des modèles d’administration du domaine qui préservent les informations d’identification de l’administrateur et d’appliquer les technologies disponibles (comme le chiffrement IPsec du réseau de manière à limiter toute interconnexion inutile sur le réseau.
Récupération : Il est important de disposer d’un plan de récupération réfléchi, accompagné de processus de réponse aux incidents bien adaptés. L’entité visée doit réunir un « comité de crise » pour définir les priorités d’intervention et tester la capacité de l’entreprise à se rétablir après plusieurs scénarios d’attaques différents.
Le rapport complet est disponible à cette adresse: http://www.microsoft.com/security/sir/default.aspx
Bonne lecture,Sally MAHAMDEH – Consultante Sécurité & Identité
Les termes “en ligne” et “hors ligne” sont couramment utilisés pour décrire l’état de communication d’un périphérique avec une ressource distante.
Dans le contexte de la technologie des fichiers hors ligne (Offline files) la définition des termes « en ligne » et « hors ligne » est la suivante :
Une nouvelle version de Microsoft Security Compliance Manager (SCM) est disponible.
Cette version apporte des mises à jour importantes dans les configurations de sécurité des produits suivants :
Pour ceux qui ne connaitraient pas encore cet outil, SCM permet d’évaluer et de corriger la conformité de vos politiques de sécurité au travers des opérations suivantes :
SCM est également fourni avec l’outil Local GPO qui permet d’exporter et d’importer des paramètres de sécurité sur des machines hors-domaine.
Annonce du Technet :http://technet.microsoft.com/en-us/library/cc677002.aspx
Lien de téléchargement :http://www.microsoft.com/download/en/details.aspx?id=16776
Yann DUCHENNE – Consultant Sécurité & Identité
Pour ce deuxième billet, nous souhaitons vous présenter et mettre en lumière quelques passages de l’étude “Security Intelligence Report Volume 11”. Ce rapport dresse un panorama sur les vulnérabilités logicielles les plus exploitées ainsi que sur les logiciels malveillants les plus actifs sur le premier semestre 2011. Le premier enseignement de cette étude est que le taux d’infection diminue avec les versions les plus récentes de Windows. De même, le niveau de sécurité augmente en utilisant une version 64 bits de Windows; ceci s’explique par le fait qu’en mode 64 bits des mesures de contrôles additionnelles sont activées comme la nécessité de signer numériquement les pilotes de périphériques.
Le deuxième enseignement est que la méthode de propagation majoritairement utilisée par les malwares se fait via une interaction utilisateur. Contrairement à ce que l’on pourrait penser, les malwares les plus virulents n’exploitent pas de faille dans un logiciel. En fait, dans pratiquement un cas sur deux, le code malveillant s’exécute suite à une mauvaise décision prise par l’utilisateur. Il est donc nécessaire de guider l’utilisateur afin qu’il prenne les bonnes décisions. Les contrôles de sécurité inclus dans Internet Explorer (filtre SmartScreen et Anti-phishing) augmentent ainsi le niveau de protection.
Le rapport « Security Intelligence Report » est réalisée deux fois par an par Microsoft. La méthodologie et le rapport complet sont disponibles à cette adresse: http://www.microsoft.com/security/sir/default.aspx
Bonne lecture, Arnaud JUMELET – Consultant Sécurité & Identité
Bonjour à tous, C’est avec un immense plaisir que nous vous annonçons l’ouverture de notre blog d’équipe ! Nous vous proposerons différents types de contenu, des articles techniques, des témoignages...