Microsoft Bibliothèque TechNet Library

ou juste avant la balise de fermeture -->

 

 

 CD ROM Annuaire d'Entreprises France prospect (avec ou sans emails) : REMISE DE 10 % Avec le code réduction AUDEN872

10% de réduction sur vos envois d'emailing --> CLIQUEZ ICI

Retour à l'accueil, cliquez ici

ou juste avant la balise de fermeture -->

Voir également :

 

 

TechNet Library 5 sur 16 ont trouvé cela utile Évaluez ce sujet TechNet Library est une ressource essentielle pour les informaticiens professionnels utilisant les produits, outils et technologies Microsoft. Nous ajouterons progressivement toutes nos informations pour les informaticiens professionnels. Pour accéder à toute documentation actuellement disponible sur Technet, allez sur la page d'accueil de Technet pour rechercher le TechCenter adéquat. Pour obtenir les derniers articles Technet qui vous ont été envoyés par courrier électronique, inscrivez-vous au bulletin TechNet Flash. Pour envoyer vos commentaires concernant l'amélioration de votre expérience TechNet Library, visitez notre blog. Recherchez des scripts dans Script Center. Introduction Arguments en faveur des réseaux sans fil Comment sécuriser (réellement) votre réseau local sans fil Sélection d'options de réseau sans fil adéquates Résumé Références Introduction TechNetProduitsTéléchargementsSupport technique France - Français Connexion Accueil Librairie Formation Téléchargements Support technique Communautés Forums Bibliothèque TechNet Deployment Volume Activation Volume Activation 2.0 pour Windows Vista et Windows Server 2008 Volume Activation Documentation Volume Activation 2.0 pour Windows Vista et Windows Server 2008 4 sur 5 ont trouvé cela utile Évaluez ce sujet Microsoft Volume Activation Partie de Microsoft Genuine Software Initiative Volume Activation 2.0 est un ensemble de solutions techniques et stratégiques proposé par la plate-forme de protection de licence logicielle (SPP, Software Protection Platform) de Microsoft. La méthode d’activation conçue pour les clients opérant sous licence en volume, Volume Activation (VA) 2.0 est une solution configurable qui permet aux professionnels de l’informatique d’automatiser et de gérer le processus d’activation des produits des systèmes Windows Vista Professionnel, Windows Vista Entreprise et Windows Server 2008 sous licence en volume. À propos des logiciels Microsoft authentiques À télécharger Guide de référence de Volume Activation 2.0 Le Guide de référence de Microsoft Windows Volume Activation 2.0 vous permet d’obtenir les réponses à vos questions (par exemple : qu’est-ce que le seuil d’activation pour KMS ?) ou de comprendre comment fonctionne l’activation ou la validation. Ce guide est un ouvrage de valeur pour quiconque souhaite obtenir des informations sur VA 2.0. Télécharger le guide de référence. Étude de cas MSIT Apprenez comment Microsoft a mis en œuvre Volume Activation sur son propre réseau. De nombreuses configurations serveur ont été testées dans un environnement à domaines multiples et plus de 90 000 clients ont été activés, avec un impact négligeable sur les utilisateurs. Volume Activation dans Server 2008, présenté dans Windows IT Pro 2008 Magazine, édition de mars de Microsoft MVP, Sean Deuby. Si vous prévoyez de déployer des versions commerciales de Windows Vista ou toute version de Windows Server 2008, vous devez comprendre ce que représente Volume Activation. Cet article traite de la solution Volume Activation et offre des recommandations simples pour le déploiement dans des scénarios courants. Téléchargez l’article ou visualisez-le comme article publié dans les problèmes en ligne Windows IT Pro. Télécharger le guide technique de Volume Activation 2.0 Obtenez directement auprès du centre de téléchargement les derniers guides techniques de Volume Activation 2.0 au format Word, destinés aux professionnels de l’informatique. Volume Activation 2.0 Changes pour Windows Server® 2008 et Windows Vista® SP1 Ce document récapitule les modifications apportées à Volume Activation 2.0 pour Windows Server 2008 et Windows Vista SP1 par rapport à Volume Activation 2.0, après la mise en œuvre de la version initiale sous Windows Vista. Les 5 problèmes d’activation de clé de produit les plus importants rencontrés et résolus par les professionnels de l’informatique (livre blanc) Windows Vista® et Windows Server® 2008 incluent des changements significatifs relatifs à l’activation du produit sur Windows® XP et Windows Server 2003. Ces changements, bien que simples, ont souvent provoqué l’inquiétude des professionnels de l’informatique qui ont dû résoudre des problèmes opérationnels lors du déploiement de Windows. Les services de support technique de Microsoft® ont identifié ce qui suit comme étant les cinq problèmes les plus courants d’activation du produit rencontrés par les clients qui évaluent et/ou déploient Windows Vista (ou Windows Server 2008). La compréhension de ces problèmes vous aidera vous ainsi que votre équipe à gérer les changements d’activation plus efficacement et à optimiser votre environnement de déploiement. Les 10 choses que vous devez savoir sur Windows Authentique Microsoft forme les clients et les partenaires sur le logiciel authentique afin de les protéger contre les logiciels piratés et contrefaits. Connaissez-vous la signification de « Windows Original » ou « logiciel Microsoft authentique » ? Apprenez-en davantage sur la signification du terme « Authentique » et obtenez une présentation de l’activation, de la validation, de l’octroi de licence et de la conformité du produit. Personnalisation de Windows Vista Professionnel (livre blanc) Le présent livre blanc présente les avantages de la personnalisation de Windows Vista Professionnel ainsi que les impacts d’activation afférents à la personnalisation. Il indique également les implications stratégiques liées à la personnalisation et décrit ces implications à travers des scénarios de personnalisation courants. Contenu localisé Nos guides techniques sont disponibles dans la langue de votre choix. Vous pouvez accéder aux pages localisées en sélectionnant une langue dans l’angle supérieur droit de la page d’arrivée ou télécharger les guides en tant que fichiers compressés. Téléchargez les derniers guides techniques de Volume Activation 2.0 dans les langues suivantes : Allemand (Deutsch) Espagnol (Español) Français Japonais (???) Portugais (Português) Russe (???????) Italien (Italiano) Coréen (???) Chinois simplifié (????) Chinois traditionnel (Taïwan et Hong Kong) Bibliothèque de contenu de Volume Activation Exchange Server 16 sur 28 ont trouvé cela utile Évaluez ce sujet Dernière modification de la rubrique : 2009-04-14 Bienvenue dans la bibliothèque technique de Microsoft Exchange Server, la plate-forme de messagerie qui intègre la messagerie, la planification et des outils pour des applications de collaboration et de service de messagerie personnalisées. Créez et gérez facilement vos communications professionnelles au bureau et à l'extérieur à l'aide d'Exchange Server. La bibliothèque technique comporte les sections suivantes : Microsoft Exchange Server 2010 Microsoft Exchange Server 2007 Microsoft Exchange Server 2003 Documentation sur les outils Exchange Server Articles techniques relatifs à Exchange Server Documentation en ligne pour SQL Server 2012 version finale 0 (RC 0) SQL Server 2012 Autres versions 1 sur 1 ont trouvé cela utile Évaluez ce sujet [Cette documentation n'est fournie qu'à des fins d'aperçu car elle est susceptible d'être modifiée lors de versions ultérieures. Les rubriques vides sont incluses comme espaces réservés.] Bienvenue dans la documentation en ligne Microsoft® pour Microsoft Microsoft SQL Server 2012 version finale 0 (RC 0)®. La documentation en ligne contient les descriptions et la documentation de référence des tâches qui explique comment réaliser la gestion des données et le travail de décisionnel à l'aide de SQL Server. Modifications apportées à la documentation de SQL Server Microsoft SQL Server 2012 version finale 0 (RC 0) propose deux modifications importantes de la documentation ; une nouvelle visionneuse d'aide qui modifie la façon dont vous installez et consultez la documentation ; par ailleurs, la documentation a été restructurée pour aborder des problèmes rencontrés avec les versions antérieures de la documentation en ligne. Microsoft SQL Server 2012 version finale 0 (RC 0) utilise maintenant la visionneuse d'aide fournie avec Microsoft® Visual Studio 2010 Service Pack 1 (SP1). De plus, la documentation de SQL Server n'est plus incluse sur le support d'installation, mais doit être affichée en ligne, ou téléchargée comme une collection d'aide locale. Pour plus d'informations, consultez Utiliser la documentation en ligne de Microsoft SQL Server. Les ensembles principaux de la documentation Microsoft SQL Server 2012 dans la nouvelle structure sont les suivants : La documentation en ligne de Microsoft SQL Server 2012 contient un ensemble de contenu de base plus petit, optimisé pour les utilisateurs qui recherchent des informations sur la façon d'effectuer une tâche. Cette version de la documentation en ligne contient ces types principaux d'informations : Rubriques de tâches qui décrivent comment effectuer des tâches courantes, telles que la création d'un cube ou la modification d'une table. Rubriques de fonctionnalités qui fournissent une brève description de la fonctionnalité et un tableau des tâches courantes nécessaires pour utiliser cette fonctionnalité. Rubriques de référence qui décrivent la syntaxe des éléments tels que des utilitaires et des languages d'invite de commandes, tels que Transact-SQL et MDX. Référence du développeur pour Microsoft SQL Server 2012, un ensemble qui contient de l'aide conceptuelle et une documentation de référence à l'intention des programmeurs qui créent des applications utilisant les interfaces de programmation d'applications (API) de SQL Server. Installation de Microsoft SQL Server 2012, un contenu décrivant comment planifier et exécuter une installation de SQL Server. Didacticiels de Microsoft SQL Server 2012, un ensemble de procédures pas à pas rapides et guidées des tâches courantes de SQL Server. Pour afficher le jeu initial de didacticiels Microsoft SQL Server 2012 version finale 0 (RC 0), consultez la page des didacticiels. Il est prévu actuellement de fournir un ensemble de guides à l'avenir. Ces guides donneront des descriptions normatives d'aide et conceptuelles de fonctionnalités et d'opérations de SQL Server. Les guides sont optimisés pour les utilisateurs recherchant une description plus détaillée d'une fonctionnalité, ou souhaitant en savoir plus sur les zones du produit qu'ils n'ont pas utilisées auparavant. Le projet de restructuration n'est pas complet ; de nombreuses fonctionnalités et rubriques de tâche n'ont pas encore été converties dans leur forme définitive. Les versions ultérieures de la documentation de Microsoft SQL Server 2012 comporteront d'autres modifications apportées au contenu de la documentation en ligne, ainsi que des éléments supplémentaires tels que les guides. Pour plus d'informations, consultez Restructuration de la documentation SQL Server. Technologies SQL Server SQL Server inclut plusieurs technologies de gestion et d'analyse des données. Cliquez sur les liens dans le tableau suivant pour rechercher la fonctionnalité, la tâche et la documentation de référence relative à chaque technologie. Moteur de base de données Le moteur de base de données est un service central qui permet de stocker, traiter et sécuriser les données.Il fournit des accès contrôlés et des traitements de transactions rapides pour répondre aux besoins des applications les plus gourmandes en données utilisées au sein des entreprises.Il offre également les fonctions nécessaires pour faire face à des besoins de haute disponibilité. Data Quality Services SQL Server Data Quality Services (DQS) fournit une solution de nettoyage de données reposant sur des connaissances.DQS vous permet de générer une base de connaissances, puis utilise cette dernière pour effectuer la correction des données et la déduplication de vos données, à l'aide de moyens assistés par ordinateur et interactifs.Vous pouvez utiliser des services de données de référence en nuage, et vous pouvez générer une solution de gestion de données qui intègre DQS avec SQL Server Integration Services et Master Data Services. Analysis Services Analysis Services est une plateforme de données analytiques et un ensemble d'outils dédié au décisionnel personnel, en équipe et en entreprise.Les serveurs et concepteurs de clients prennent en charge des solutions OLAP traditionnelles, de nouvelles solutions de modélisation tabulaire, ainsi que des fonctionnalités d'analyse et de collaboration en libre-service grâce à PowerPivot, Excel et à un environnement de serveur SharePoint.Analysis Services propose également l'exploration des données afin que vous puissiez découvrir les modèles et relations masqués à l'intérieur de grands volumes de données. Integration Services Integration Services est une plateforme permettant de créer des solutions d'intégration de données à hautes performances, y compris des packages qui autorisent les processus d'extraction, de transformation et de chargement (ETL) pour l'entreposage de données. Master Data Services Master Data Services est la solution SQL Server de gestion des données de référence.Une solution reposant sur Master Data Services garantit que la création de rapports et l'analyse sont basées sur les informations adéquates.Master Data Services vous permet de créer un référentiel central pour vos données de référence et de conserver un enregistrement vérifiable et sécurisable de ces données au fur et à mesure de leur modification. Réplication La réplication repose sur un ensemble de technologies qui permettent de copier et de distribuer des données et des objets de base de données d'une base de données vers une autre, puis de synchroniser les bases de données afin de maintenir leur cohérence.Avec la réplication, vous pouvez distribuer des données vers différents emplacements et à des utilisateurs distants ou mobiles par l'intermédiaire de réseaux locaux ou étendus, de connexions d'accès à distance, de connexions sans fil et d'Internet. Reporting Services Reporting Services fournit des fonctionnalités Web de création de rapports d'entreprise qui permettent d'extraire du contenu d'une large gamme de sources de données, de publier des rapports dans différents formats et de gérer de façon centralisée la sécurité et les abonnements. Informations SQL Server sur le Web Microsoft publie des informations supplémentaires sur SQL Server sur plusieurs sites Web. Sites Web SQL Server SQL Server sur Microsoft.com Centre de ressources SQL Server SQL Server TechCenter (en anglais) Centre de développement SQL Server Centre de développement de la plateforme de données XML Developer Center (en anglais) Volume Activation 2.0 Outil VAMT (Microsoft Volume Activation Management Tool) Guide de présentation Guide de planification Guide de déploiement Guide des opérations*Mise à jour d’avril 08* Étude de cas MSIT Utilisation de l’isolation de serveur pour protéger les hôtes KMS Activation du produit pour Windows Vista et Windows Server 2008 Aide et articles de support Vous pouvez être invité à activer Windows Vista sur un ordinateur sur lequel Windows Vista a déjà été activé par une licence en volume ou une installation OEM Comportement du mode de fonctionnalité réduite dans Windows Vista L’activation échoue lorsque vous essayez d’activer Windows Vista ou Windows Server 2008 sur Internet Liens essentiels Ressources FAQ Séminaires interactifs Présentation de l’activation et de la validation dans Windows Vista et Windows Server 2008 (niveau 200) Meilleures pratiques dans la planification et le déploiement de Volume Activation 2.0 (niveau 200) Dépannage des problèmes d’activation et de validation dans Windows Vista et Windows Server 2008 (niveau 300) Cela vous a-t-il été utile ? Oui Non TechNetProduitsTéléchargementsSupport technique France - Français Connexion Accueil Librairie Formation Téléchargements Support technique Communautés Forums Bibliothèque TechNet Scripting Centre de scripts Script Guide Compatibilité des applications Service Pack 2 Windows XP - Scripts complémentaires Comment puis-je accéder à une bibliothèque de types à partir d'un script ? Comment puis-je ajouter un utilisateur de domaine à un groupe d'administrateurs local ? Comment puis-je connaître la date de création d'un compte d'utilisateur Active Directory ? Comment puis-je désactiver le compte Invité sur un ordinateur ? Comment puis-je déterminer l'heure du système sur un ordinateur ? Comment puis-je extraire de mes journaux des événements des informations sur les échecs de connexion ? Comment puis-je identifier le propriétaire d'un fichier ? Comment puis-je imprimer des fichiers texte à l'aide d'un script ? Comment puis-je modifier le dossier de travail d'un script ? Comment puis-je modifier le mot de passe d'un utilisateur ? Comment puis-je obtenir la liste de tous les contrôleurs de domaine de mon domaine ? Comment puis-je obtenir la liste de tous mes ordinateurs Windows Server 2003 ? Comment puis-je remplacer un fichier local par une version plus récente trouvée sur un serveur de fichiers ? Comment puis-je savoir si un groupe est un groupe de sécurité ou un groupe de distribution ? Comment puis-je savoir à quelle unité d'organisation appartient un compte d'utilisateur ? Comment puis-je savoir quels scripts s'exécutent sur un ordinateur ? Comment puis-je savoir si mes utilisateurs possèdent certains fichiers sur leur ordinateur ? Comment puis-je trouver et déplacer un compte d'ordinateur Active Directory ? Comment supprimer toutes les lignes dupliquées d'un fichier texte ? Comment trouver tous les utilisateurs ayant des autorisations d'accès distant ? Deux, trois, de nombreux Compute Clusters : Rechercher des clusters dans Active Directory Inventaire des Service Packs Windows XP - Première partie Inventaire des Service Packs Windows XP - Deuxième partie Inventaire des Service Packs Windows XP - Troisième partie - Création d'un script de déploiement Les deux faces du traitement des extensions de scripts de stratégie de groupe : 1ère partie Les deux faces du traitement des extensions de scripts de stratégie de groupe : 2ème partie Liste de tous les comptes d'ordinateurs d'Active Directory Liste des valeurs des couleurs Excel Script de Compute Cluster Server – Présentation Tabulation Notes de publication Ce sujet n'a pas encore été évalué Évaluez ce sujet Mis à jour: juin 2011 S'applique à: Forefront Endpoint Protection Ces notes de publication contiennent des informations nécessaires à l'installation, le déploiement et l'utilisation de Microsoft® Forefront® Endpoint Protection. Elles contiennent des informations non disponibles dans la documentation du produit. Microsoft Forefront Endpoint Protection Échec de la création de rapports lors de l'exécution d'une réparation sur Microsoft Forefront Endpoint Protection Le compte utilisateur utilisé pour exécuter une réparation sur la création de rapports Forefront Endpoint Protection doit avoir le rôle SQL Server Reporting Services du Gestionnaire de contenu attribué. Pour plus d'informations sur le rôle SQL Server Reporting du Gestionnaire de contenu, consultez Rôle du Gestionnaire de contenu (http://go.microsoft.com/fwlink/?LinkId=207653) dans la documentation en ligne de SQL Server. Remarque : Si un Contrôle de compte d'utilisateur (UAC) est activé sur le serveur SQL Server Reporting Services, l'attribution de rôle ne peut pas être héritée des groupes suivants ou la réparation échoue : Administrateurs — groupe local Administrateurs de domaine — groupe de domaines Étiquettes x-axis ne s'affichant pas correctement pour le rapport de synthèse sur la protection anti-programme malveillant Dans certaines circonstances, lors de l'exécution du rapport de synthèse sur la protection anti-programme malveillant, les étiquettes x-axis ne s'affichent pas correctement. Cela se produit uniquement avec les services de création de rapport Microsoft SQL Server® 2008 ou SQL Server 2008 R2. Installez l'une des mises à jour cumulatives SQL Server pour réparer le rapport : Package de mise à jour cumulative 3 pour SQL Server 2008 R2 (page éventuellement en anglais) (http://go.microsoft.com/fwlink/?LinkId=204839) Package de mise à jour cumulative 10 pour SQL Server 2008 Service Pack 1 (page éventuellement en anglais) (http://go.microsoft.com/fwlink/?LinkId=204840) Remarque : Il est recommandé d'installer la mise à jour cumulative SQL Server avant d'installer Forefront Endpoint Protection. Si la mise à jour cumulative SQL Server est installée après Forefront Endpoint Protection, vous devez exécuter une réparation sur le composant Microsoft Forefront Endpoint Protection 2010 Reporting. Gestion des paramètres du Programme d'amélioration du produit sur le serveur Forefront Endpoint Protection Une fois Forefront Endpoint Protection installé vous ne pouvez pas modifier votre adhésion au programme d'amélioration du produit (CEIP) via l'interface utilisateur. Pour configurer manuellement les paramètres CEIP, modifiez la clé de registre suivante sur le serveur Forefront Endpoint Protection : HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Microsoft Forefront\Forefront Endpoint Protection 2010\config\SqmEnabled Si vous définissez la clé de registre sur 1, vous adhérez au programme CEIP. Si vous définissez la clé de registre sur 0, votre adhésion au programme CEIP est supprimée. Pour que la modification soit prise en compte, vous devez redémarrer l'ordinateur. Logiciel client Microsoft Forefront Endpoint Protection Gestion des paramètres du Programme d'amélioration du produit sur les clients Forefront Endpoint Protection Les clients Forefront Endpoint Protection rejoignent automatiquement le programme CEIP. Les utilisateurs peuvent modifier ces paramètres ; cependant, l'administrateur ne peut pas contrôler les paramètres CEIP via une stratégie Forefront Endpoint Protection dans la console du Gestionnaire de configuration. Pour configurer les paramètres CEIP, créez la clé de registre suivante sur l'ordinateur client Forefront Endpoint Protection : HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Microsoft AntiMalware\Miscellaneous Configuration\SqmConsentApprove Si vous définissez la clé de registre sur 1, vous adhérez au programme CEIP (par défaut). Si vous définissez la clé de registre sur 0, votre adhésion au programme CEIP est supprimée. Une fois la clé de registre créée, l'utilisateur ne peut plus modifier ce paramètre à partir du client Forefront Endpoint Protection. Pour que la modification soit prise en compte, vous devez redémarrer l'ordinateur. Mise à niveau du système d'exploitation Une fois le système d'exploitation d'un ordinateur client mis à niveau, le logiciel client Forefront Endpoint Protection ne fonctionne plus correctement. Pour éviter cela, vous devez désinstaller le logiciel client Forefront Endpoint Protection avant d'exécuter la mise à niveau du système d'exploitation. Cela s'applique aux mises à niveau suivantes du système d'exploitation : de Windows XP à Windows Vista®, de Windows Vista à Windows Vista SP1, Windows Vista SP2, ou Windows® 7. Analyse personnalisée des lecteurs virtuels de Windows XP Sur des ordinateurs exécutant Windows XP, un programme malveillant sur un lecteur virtuel n'est pas détecté pendant l'analyse personnalisée du lecteur virtuel. Un lecteur virtuel est créé par des applications à l'aide de la technologie Application Virtualization (App-V), telles que Microsoft Office 2010. Des analyses rapides et des analyses complètes détectent correctement le programme malveillant. Forefront Endpoint Protection ne désinstalle pas Symantec sur des ordinateurs exécutant des systèmes d'exploitation x64 Le logiciel client Forefront Endpoint Protection ne désinstalle pas le client Symantec Antivirus Corporate Edition sur des ordinateurs exécutant un système d'exploitation 64-bit. Sur ces ordinateurs, vous devez désinstaller manuellement le logiciel Symantec avant de déployer le logiciel client Forefront Endpoint Protection. Le client Forefront Endpoint Protection cesse de signaler l'activité des programmes malveillants lorsque le Journal des événements système est plein Les incidents d'activité des programmes malveillants du client sont signalés par le client au serveur Forefront Endpoint Protection en fonction des entrées du journal des événements Système. Si le journal des événements Système est plein et qu'aucun nouvel événement ne peut être écrit, aucune nouvelle activité de programme malveillant n'est signalée au serveur Forefront Endpoint Protection. Il est recommandé de configurer les propriétés du journal des événements Système pour écraser des événements si nécessaire, afin que les nouveaux événements puissent être écrits et ne soient pas perdus. Vue d'ensemble de Ce sujet n'a pas encore été évalué Évaluez ce sujet Mis à jour: janvier 2011 S'applique à: Forefront Endpoint Protection Microsoft® Forefront® Endpoint Protection 2010 (FEP) est une solution de sécurité et de protection anti-programme malveillant intégrée à System Center Configuration Manager 2007 et Forefront Endpoint Protection Security Management Pack est une solution de gestion de sécurité et de protection anti-programme malveillant pour des serveurs et des ordinateurs critiques, de haute priorité, intégrés à System Center Operations Manager 2007. Ensemble, ils forment une solution logicielle qui fournit une gestion de sécurité et de protection anti-programme malveillant pour des ordinateurs de bureau, des ordinateurs portables et des serveurs. Ensemble ils fournissent une solution de coût total de possession inférieur pour l'entreprise qui permet aux administrateurs de postes de travail de votre organisation d'ajouter une gestion de sécurité à leurs opérations quotidiennes, dans un cadre de travail familier et sans nécessiter une connaissance spécialisée en sécurité. FEP et le FEPSecurity Management Pack tirent profit de l'expérience administrative familière de la gestion et de la surveillance des points de terminaison. Ils améliorent la visibilité pour l'identification et la mise à jour de points de terminaison éventuellement vulnérables, en même temps qu'ils participent à la baisse des coûts de propriété à l'aide d'une infrastructure existante pour la gestion et la sécurité des points de terminaison. Le logiciel client FEP déploie sans effort sur des centaines de milliers de points de terminaison à l'aide d'agents System Center Configuration Manager existants et fournit une détection très précise des menaces connues et inconnues, ainsi qu'une protection active contre les attaques sur le réseau en gérant des configurations de pare-feu Windows de base. FEP et le FEPSecurity Management Pack fournissent les fonctionnalités suivantes : Intégration à votre infrastructure de gestion système existante Moteur du logiciel anti-programme malveillant éprouvé Fonctionnalité de création de rapports Dans FEP, gestion anti-programme malveillant basée sur les stratégies Dans FEP, gestion de pare-feu Migration continue à partir de solutions antivirus précédentes Pourquoi utiliser Forefront Endpoint Protection Forefront Endpoint Protection et le FEPSecurity Management Pack fournissent une intégration continue avec les produits de gestion que vous utilisez tous les jours. Les avantages principaux sont décrits ci-après. Déploiement facile Forefront Endpoint Protection permet aux administrateurs de postes de travail d'étendre facilement une solution de protection de points de terminaison de grande échelle à tous les utilisateurs des ordinateurs de bureau et portables, tandis que le FEPfep5 permet d'étendre simplement les alertes et la création de rapports en temps réel pour les serveurs et les ordinateurs clients critiques de haute priorité. FEP contient des modèles de stratégie, pour des configurations de client recommandées et des charges de travail de serveur habituelles, qui sont prêts à l'emploi et ne laissent pas la place aux doutes concernant la gestion de sécurité. Bien qu'aucune personnalisation avancée ne soit nécessaire, il est facile de personnaliser des stratégies pour répondre aux besoins de votre organisation. Forefront Endpoint Protection prend en charge des déploiements basés sur une infrastructure de distribution logicielle System Center Configuration Manager familière, tandis que le FEPSecurity Management Pack, basé sur System Center Operations Manager, prend en charge des serveurs et des ordinateurs clients critiques, de haute priorité. Vous pouvez déployer le client à l'aide de Forefront Endpoint Protection A travers plusieurs topologies pour prendre en charge des ordinateurs non rattachés à un domaine, des points de terminaison dans différentes filiales, outre des clients non gérés (autonomes). Mettre à niveau ou remplacer de manière continue des solutions de sécurité installées précédemment. Sur plusieurs systèmes d'exploitation Windows®. Gestion facile Forefront Endpoint Protection et le FEPSecurity Management Pack offrent à l'administrateur de postes de travail et de serveurs une expérience de gestion de sécurité simplifiée. Basé sur les interfaces System Center familières, il donne aux administrateurs un accès simplifié aux informations et aux outils dont ils ont besoin afin de garder leur entreprise sécurisée et en fonctionnement, notamment ce qui suit : dans FEP, administration basée sur la stratégie, capacités de mise à jour, notamment des définitions d'analyse et de mise à jour sur des ordinateurs clients, création de rapports actuels et historiques qui permettent aux administrateurs de répondre à des questions de sécurité critiques, telles que : Quel pourcentage d'ordinateurs est actuellement protégé ? Le logiciel antivirus est-il installé et activé ? Les dernières définitions sont-elles installées ? Quel programme malveillant a été détecté dans l'organisation ? Quels ordinateurs ont actuellement une activité de programme malveillant ? Comment puis-je améliorer ma sécurité organisationnelle ? Forefront Endpoint Protection est basé sur System Center Configuration Manager et le FEPSecurity Management Pack est basé sur System Center Operations Manager. Protection unifiée Forefront Endpoint Protection délivre une protection d'agent unique contre des menaces multiples pour des ordinateurs de bureau et portables et le FEPSecurity Management Pack fournit une gestion des serveurs et des ordinateurs clients critiques de haute priorité. Soutenu par un centre de réponse de haut niveau et une communauté dédiée (Microsoft SpyNet®) servant des millions d'utilisateurs, le client FEP inclut : logiciel anti-espion et antivirus, détection et mise à jour du rootkit, évaluation de la vulnérabilité critique et mises à jour automatiques, gestion du Pare-feu Windows intégré, Système d'inspection réseau Le client FEP permet aux utilisateurs de rester productifs dans un environnement sécurisé au bureau ou en déplacement avec une interface légère et facile à utiliser. Il est créé sur le même moteur anti-programme malveillant que Microsoft Security Essentials (MSE), qui a déjà enchanté des millions de consommateurs avec peu de faux positifs et des taux élevés d'adhésion. Lorsque cela est possible, le client FEP résout automatiquement les problèmes de sécurité au fur et à mesure de leur apparition sans déranger les utilisateurs qui peuvent donc être protégés et continuer leur travail sans contacter les administrateurs de postes de travail. Considérations de décision pour FEP et Security Management Pack FEP FEP et le FEPSecurity Management Pack fournissent la meilleure protection de sécurité de leur catégorie pour des ordinateurs de bureau et portables et pour des serveurs. Vous pouvez implémenter FEP ou le FEPSecurity Management Pack, ou vous pouvez implémenter les deux pour tirer profit des fonctionnalités de chacun. Pour savoir à quel moment les implémenter vous devez évaluer vos besoins en sécurité. Considérez les questions présentées dans le tableau suivant : Si Alors Vos remarques Vous utilisez déjà System Center Configuration Manager pour gérer votre entreprise Vous pouvez aisément implémenter Forefront Endpoint Protection pour intégrer la sécurité à votre solution de gestion d'ordinateur. Vous utilisez System Center Operations Manager pour gérer votre centre de données Vous pouvez implémenter le FEP Security Management Pack pour surveiller vos serveurs et vos ordinateurs critiques, de haute priorité. Vous avez besoin de rapports et d'une surveillance en temps réel pour tous vos ordinateurs ou serveurs Le FEPSecurity Management Pack peut fournir une surveillance et des alertes en temps réel pour les serveurs (et les ordinateurs clients de haute priorité) que vous désignez. Vous utilisez la fonctionnalité de Gestion de configuration souhaitée (DCM) dans Configuration Manager Forefront Endpoint Protection fournit des vérifications DCM supplémentaires qui vous permettent de signaler l'état des zones de sécurité de votre environnement de Gestionnaire de configuration. Vous gérez des filiales ou des clients non rattachés au domaine le Gestionnaire de configuration prend en charge ces deux scénarios et Forefront Endpoint Protection, basé sur le Gestionnaire de configuration, peut tirer profit de cette prise en charge. Les administrateurs de postes de travail dans votre organisation sont responsables de la sécurité des postes de travail Si vous avez implémenté le Gestionnaire de configuration pour l'administration des postes de travail, vos administrateurs de postes de travail peuvent travailler dans l'interface familière du Gestionnaire de configuration. Vous avez besoin de l'historique des événements de programmes malveillants Forefront Endpoint Protection et le FEPSecurity Management Pack sont des options qui répondent à vos besoins. Ils maintiennent l'historique des informations sur les programmes malveillants dans votre organisation. Microsoft Solution Accelerator for Business Desktop Deployment 2007 Ce sujet n'a pas encore été évalué Évaluez ce sujet Paru le 30 novembre 2006 Business Desktop Deployment (BDD) 2007 est LE meilleur ensemble de conseils et d'outils exhaustifs pour un déploiement optimal des postes de travail exécutant Windows Vista, Microsoft Windows XP, le système Microsoft Office 2007 ou Microsoft Office 2003. Il aide les professionnels de l'informatique à réaliser un retour sur investissement rapide tout en définissant de nouvelles normes en termes de fiabilité, de performances, de sécurité et de simplicité d'utilisation. BDD 2007 RC1 est désormais disponible en téléchargement sur Microsoft Connect. Télécharger BDD 2007 RC1 Sur le site Microsoft Connect, cliquez sur My Participation. Ouvrez une session, puis cliquez sur Available Connections afin d'introduire une demande pour Business Desktop Deployment 2007 (RC1) pour Windows Vista et pour le système Microsoft Office 2007. Sur cette page Introduction Nouveautés BDD 2007 Pourquoi les éditions Standard et Entreprise ont-elles été supprimées ? Ressources supplémentaires Figure 1 : Processus BDD Voir l'image en taille réelle Introduction Cet accélérateur de solution propose aux professionnels de l'informatique des outils et recommandations éprouvés pour : créer un inventaire logiciel et matériel pour la planification du déploiement ; tester la compatibilité des applications et atténuer les problèmes de compatibilité découverts pendant le processus ; configurer un environnement initial de laboratoire avec des serveurs de déploiement et d'imagerie ; personnaliser et empaqueter les applications ; automatiser la création et le déploiement d'images de poste de travail ; s'assurer que le poste de travail est renforcé de façon à améliorer la sécurité au sein de l'environnement ; gérer les processus et les technologies afin de produire un déploiement complet et intégré. Solution Accelerator for BDD comporte des conseils, des exemples de modèles et des fichiers techniques (scripts et fichiers de configuration, par exemple). Il présente des conseils de déploiement sous la forme de guides d'équipe technique expliquant de manière approfondie chaque processus de déploiement. Les conseils fournis dans BDD sont structurés en fonction des équipes techniques et des processus décrits à la figure 1. Haut de page Nouveautés BDD 2007 Un grand nombre de modifications ont été apportées pour Windows Vista de façon à faciliter considérablement le déploiement, notamment de nouvelles technologies d'imagerie prêtes à l'emploi, des scripts de migration XML, de nouveaux outils pour l'ingénierie d'image (ImageX et System Image Manager) et le nouveau format unattend XML. Un autre progrès décisif a été réalisé au niveau de Windows Vista avec l'indépendance et la neutralité de langue de la couche d'abstraction matérielle (HAL). Les entreprises peuvent désormais obtenir un nombre minimum d'images standard sans avoir à effectuer d'efforts considérables pour consolider le matériel. Comme pour toute avancée en matière technologique, une bonne compréhension des outils et technologies est requise pour pouvoir en tirer un profit maximum. BDD 2007 fournit suffisamment d'informations et d'outils pour rendre le processus de déploiement de Windows Vista et du système Office 2007 prévisible et évolutif. Bon nombre des outils et informations de BDD 2007 peuvent même être utilisés tout au long du cycle de vie de gestion des postes de travail pour la configuration de nouveaux utilisateurs, la maintenance des images et la gestion centralisée des pilotes et des applications. BDD 2007 introduit également la nouvelle plate-forme de déploiement, qui permet aux utilisateurs de générer et de gérer plusieurs configurations de système d'exploitation, de définir les points de déploiement réseau et les partages réseau, d'injecter des pilotes, d'attacher des modules de prise en charge linguistique, et de relier des applications. Il aide même à créer des images ISO et WIM utilisant Windows PE qui peuvent être déployées dans un environnement réseau ou à partir de DVDS hors ligne. BDD 2007 allège également une bonne partie des exigences de script des versions précédentes de BDD en incorporant un séquenceur de tâche autonome dérivé de System Center Configuration Manager 2007. BDD continue de proposer la prise en charge de Zero Touch Installation (ZTI) avec Systems Management Server 2003 et de Lite Touch (LTI) avec des exigences minimales en termes d'infrastructure. Haut de page Pourquoi les éditions Standard et Entreprise ont-elles été supprimées ? Les éditions Standard et Entreprise de BDD 2.0 et BDD 2.5 ciblaient respectivement les entreprises de moyenne taille et de grande taille. L'édition Standard de BDD se concentrait sur le déploiement Lite Touch, avec des exigences minimales en termes d'infrastructure réseau et de gestion. L'édition Entreprise de BDD se concentrait quant à elle sur le déploiement Zero Touch, avec SMS 2003 et le Pack de déploiement de système d'exploitation SMS 2003. Les outils utilisés pour la planification et la préparation des déploiements Lite Touch et Zero Touch ont fusionné en une infrastructure de conseils et un jeu d'outils communs uniques pour BDD 2007. BDD 2007 permet à l'entreprise de choisir entre les méthodologies Lite Touch et Zero Touch. Les plus petites structures peuvent en tirer profit en utilisant les conseils et les outils de BDD 2007, notamment pour l'imagerie et le déploiement Lite Touch. Les grandes entreprises comptant plusieurs centaines ou milliers d'utilisateurs peuvent mettre à profit l'ensemble complet de guides, de modèles, de recommandations et d'outils inclus dans BDD 2007 pour activer l'installation Zero Touch avec SMS 2003 et améliorer la gestion continue des images de poste de travail. Documentation BDD 2007 Business Desktop Deployment 2007 Téléchargements BDD 2007 Le tableau suivant décrit les critères sélection de l'édition. Lite Touch Installation (LTI) Zero Touch Installation (ZTI) avec SMS 2003 Profil du client Tout client avec 25 ordinateurs ou plus et sans SMS 2003 installé pour Zero Touch Installation. LTI peut également être utilisé lorsque SMS 2003 est installé, mais le déploiement s'effectue sur des ordinateurs non gérés, déconnectés ou à faible bande passante. Tout client avec SMS 2003 installé et gérant les ordinateurs visés par le déploiement. Scénarios pris en charge Le déploiement réseau de Lite Touch Installation prenant en charge les scénarios Nouvel ordinateur, Mettre à niveau l'ordinateur, Actualiser l'ordinateur et Remplacer l'ordinateur Les utilisateurs isolés (installations DVD/USB) Zero Touch Installation (ZTI) prenant en charge les scénarios Nouvel ordinateur, Actualiser l'ordinateur et Remplacer l'ordinateur (avec SMS 2003) Infrastructure requise Un réseau local avec au moins un serveur et suffisamment d'espace disque pour stocker les images et les fichiers de travail Systems Management Server 2003, Windows Server 2003 avec Windows Deployment Services (Windows DS) et Active Directory Logiciels requis Serveurs : Windows Server 2003 avec Windows Deployment Services (Windows DS) et Active Directory Système d'exploitation du client : Windows Vista Business, Professionnel, Ultimate ou Windows XP Professionnel Suites de productivité : Office Professional, Professional Plus, Enterprise et Ultimate 2007, Microsoft Office Édition professionnelle 2003 Serveurs : Systems Management Server 2003, Windows Server 2003 avec Windows Deployment Services (Windows DS) et Active Directory Système d'exploitation du client : Windows Vista Business, Professionnel, Ultimate ou Windows XP Professionnel Suites de productivité : Office Professional, Professional Plus, Enterprise et Ultimate 2007, Microsoft Office Édition professionnelle 2003 Logiciels gratuits requis (téléchargement) Microsoft User State Migration Toolkit (USMT) 3.0* Microsoft Application Compatibility Toolkit 5.0* Kit WAIK (Windows Automated Installation Kit)* Microsoft Core XML Services (MSXML) 6.0 Microsoft Management Console 3.0 Microsoft .NET Framework 2.0 *S'installe automatiquement avec le programme d'installation de BDD 2007 Microsoft User State Migration Toolkit (USMT) 3.0* Microsoft Application Compatibility Toolkit 5.0* Kit WAIK (Windows Automated Installation Kit)* Microsoft Core XML Services (MSXML) 6.0 Microsoft Management Console 3.0 Microsoft .NET Framework 2.0 SMS 2003 Service Pack 2 Pack de déploiement de système d'exploitation SMS 2003 Les versions précédentes de Solution Accelerator for Business Desktop Deployment (BDD) sont toujours disponibles en téléchargement, mais nous invitons les nouveaux utilisateurs mettre à profit le nouveau contenu et des nouvelles technologies disponibles dans BDD 2007 Haut de page Ressources supplémentaires Desktop Deployment pour les entreprises de taille moyenne Découvrez les techniques BDD pour les entreprises de taille moyenne disposant d'infrastructures à gestion limitée, à gestion de base et bien gérées. Windows Vista : Ressources pour les professionnels de l'informatique Bénéficiez d'une évaluation technique et d'informations relatives à la planification de déploiements pour vous préparer à la prochaine version du système d'exploitation client de Microsoft. Windows XP Service Pack 2 (SP2) : Ressources pour les professionnels de l'informatique SP2 fournit une infrastructure de sécurité améliorée qui assure une protection contre les virus, les vers et les pirates, tout en étant plus facile à gérer et à contrôler pour les professionnels de l'informatique et en procurant une meilleure expérience aux utilisateurs. Procurez-vous les ressources requises pour vous préparer au déploiement de ce service pack. TechNet Script Center Profitez d'un guichet unique destiné aux administrateurs système souhaitant gérer leurs ordinateurs Windows en utilisant les technologies de script de Microsoft, et notamment les scripts de gestion de poste de travail proposés dans le . Déploiement Zero Touch de Windows XP/Office 2003 Apprenez à capturer l'image d'un système existant, puis à créer un package d'image dans SMS 2003 pour délivrer cette image sur des ordinateurs neufs ou existants. La technologie de réseau local sans fil (Wireless Local Area Network, réseau local sans fil) fait l'objet de nombreuses controverses. Les entreprises qui ont déployé des réseaux locaux sans fil émettent des doutes quant à leur sécurité ; celles qui ne les ont pas encore mis en œuvre craignent de passer à côté de gains de productivité ou d'une réduction de leurs coûts totaux d'exploitation. Une entreprise peut-elle intégrer en toute sécurité un réseau local sans fil à son environnement informatique ? Cette question prête toujours à confusion aujourd'hui. Dès l'identification des premières failles de sécurité dans les réseaux locaux sans fil de première génération, les analystes et autres professionnels de la sécurité des réseaux n'ont eu cesse de résoudre ces problèmes. Certains de ces efforts ont très largement joué en faveur de la sécurité des réseaux sans fil. D'autres ont eu en revanche une incidence catastrophique : introduction de nouvelles failles de sécurité, recours à un matériel propriétaire onéreux et parfois même absence de réponse à la question de la sécurité des réseaux locaux sans fil par la mise en avant d'une autre technologie de sécurisation potentiellement complexe, comme les réseaux privés virtuels(VPN, Virtual Private Network). En parallèle, l'IEEE (Institute of Electrical and Electronic Engineers), en collaboration avec d'autres organismes et consortiums de normalisation, s'est attaché à la redéfinition et à l'optimisation des normes de sécurité sans fil, de façon à permettre aux réseaux locaux sans fil de se faire une place dans l'environnement de sécurité hostile du début du vingt-et-unième siècle. Grâce aux efforts acharnés des organismes de normalisation et des chefs de file du secteur, l'expression « sécurité des réseaux locaux sans fil » n'est plus un oxymore aujourd'hui. Le déploiement et l'utilisation de réseaux locaux sans fil peuvent désormais être réalisés en toute sécurité. Ce document présente deux solutions de sécurisation de réseaux locaux sans fil proposées par Microsoft®. Il répond également aux questions relatives à la sécurité des réseaux locaux sans fil et tente d'identifier la meilleure stratégie de sécurisation possible. Présentation des solutions sans fil Le principal objectif de ce document est de vous aider à identifier la méthode de sécurisation la mieux adaptée au réseau local sans fil de votre entreprise. Quatre grands points sont examinés pour ce faire : arguments en faveur des réseaux locaux sans fil (et problèmes de sécurité qui leur sont associés) ; utilisation de normes de réseau local sans fil sécurisées ; autres stratégies possibles, telles que VPN et ISsec (Internet Protocol security) ; sélection d'options de réseau local sans fil adéquates. Microsoft a mis au point deux solutions de réseau local sans fil, reposant sur les normes ouvertes validées par des organismes tels que l'IEEE, l'IETF (Internet Engineering Task Force) ou encore la Wi-Fi Alliance. Ces deux solutions s'intitulent Sécurisation de réseaux locaux sans fil ? Une solution des services de certificats de Windows Server 2003 et Sécurisation des réseaux locaux sans fil avec PEAP et des mots de passe. Comme leurs noms l'indiquent, la première de ces solutions utilise des certificats de clés publiques pour authentifier les utilisateurs et les ordinateurs sur le réseau local sans fil, tandis que la deuxième fait appel à de simples noms d'utilisateur et mots de passe. L'architecture de base des deux solutions est toutefois très similaire. Elles reposent toutes deux sur une infrastructure Microsoft Windows® Server™ 2003 et sur des clients Microsoft Windows XP et Microsoft Pocket PC 2003. Bien que leur nom ne le laisse pas supposer, ces solutions s'adressent à des publics bien différents. La première, Sécurisation de réseaux locaux sans fil ? Une solution des services de certificats de Windows Server 2003 concerne principalement les organisations de grande taille dotées d'environnements informatiques relativement complexes ; la deuxième, Sécurisation des réseaux locaux sans fil avec PEAP et des mots de passe est beaucoup plus simple et peut facilement être déployée par les petites entreprises. Cette distinction ne signifie en aucune façon que l'authentification par mots de passe ne peut pas être utilisée par les grandes entreprises (ni que l'authentification par certificats ne convient pas aux organisations de taille plus réduite) : elle traduit seulement le type d'organisation dans lequel cette technologie particulière est la plus susceptible d'être utilisée. La figure qui suit représente un organigramme décisionnel simple qui vous aidera à sélectionner la solution adaptée à votre entreprise. Les trois principales options possibles sont les suivantes : clé pré-partagée (PSK, Pre-shared Key) WPA (Wi-Fi Protected Access) pour les très petites entreprises et les télétravailleurs ; sécurité de réseau local sans fil reposant sur des mots de passe pour les organisations qui n'utilisent pas ou n'ont pas besoin de certificats ; sécurité de réseau local sans fil reposant sur des certificats pour les organisations exigeant et susceptibles de déployer des certificats. Ces options sont plus précisément détaillées dans la suite de ce document, tout comme la possibilité d'associer certaines fonctionnalités des deux dernières propositions pour produire une solution hybride. Figure 1 : Organigramme décisionnel pour les solutions de réseau local sans fil Microsoft Haut de page Arguments en faveur des réseaux sans fil On comprend aisément l'attrait exercé par les réseaux locaux sans fil sur les entreprises actuelles. Alors que la technologie sans fil existe sous différentes formes depuis près de dix ans déjà, ce n'est bizarrement que très récemment qu'elle a occupé le devant de la scène. C'est seulement en effet lorsqu'une technologie fiable, normalisée et financièrement abordable a répondu au désir grandissant de méthodes de travail plus souples et d'une connectivité encore plus présente, que l'adoption des réseaux locaux sans fil a véritablement commencé à prendre son essor. L'adoption rapide de cette technologie a toutefois mis en lumière un certain nombre de failles de sécurité relativement sérieuses, dans les réseaux locaux sans fil de première génération. Cette section examine à la fois les avantages (la fonctionnalité) et les inconvénients (la sécurité) des réseaux locaux sans fil. Avantages des réseaux locaux sans fil On peut ranger les avantages de la technologie sans fil dans deux grandes catégories : avantages métier fondamentaux et avantages opérationnels. Les avantages métier fondamentaux incluent l'amélioration de la productivité des employés, l'optimisation des processus commerciaux et le potentiel de création de processus professionnels entièrement nouveaux. Les avantages opérationnels incluent la réduction des coûts de gestion et la diminution des dépenses d'investissement. Principaux avantages métier Les principaux avantages métier des réseaux locaux sans fil découlent de l'amélioration de la souplesse et de la mobilité de vos effectifs. Les utilisateurs ne sont plus esclaves de leur poste de travail et peuvent se déplacer en toute liberté dans les bureaux sans perdre leur connexion au réseau. Voici quelques exemples qui illustrent les avantages représentés par l'optimisation de la mobilité et de la souplesse du réseau pour les entreprises. Les employés amenés à se déplacer entre différents bureaux, ou bien les télétravailleurs de passage au siège de l'entreprise, évitent perte de temps et ennuis grâce à la connexion transparente au réseau local de l'entreprise. La connexion est quasi instantanée et accessible à partir de toute zone couverte par le réseau local sans fil ; inutile donc de rechercher une prise réseau, un câble voire une personne du service informatique pour vous connecter au réseau. Les employés chargés de la gestion des informations restent joignables où qu'ils se trouvent dans le bâtiment. Grâce au courrier électronique, aux agendas électroniques et aux technologies de messagerie instantanée, votre personnel peut rester en ligne, même durant une réunion ou lorsqu'il est amené à s'éloigner de son poste de travail. Les informations en ligne sont disponibles en permanence. Les réunions n'ont plus besoin d'être interrompues pendant que quelqu'un part à la recherche du rapport des chiffres du mois précédent ou de la mise à jour d'une présentation. La qualité et la productivité des réunions s'en trouvent considérablement améliorées. L'entreprise jouit d'une souplesse accrue. Le personnel n'étant plus lié à un poste de travail donné, des déplacements simples et rapides de postes de travail ou même de bureaux entiers sont désormais possibles, afin de s'adapter à l'évolution des structures des équipes et des projets. L'intégration de nouveaux périphériques et applications dans l'environnement informatique de l'entreprise évolue de façon très significative. Des périphériques tels que les assistants numériques personnels (PDA) et les Tablet PC, longtemps relégués au rang de joujoux pour cadres branchés, aux antipodes de l'informatique professionnelle, jouissent d'une bien meilleure intégration et revêtent ainsi une utilité nouvelle au sein des organisations prenant en charge les technologies sans fil. Des employés et des processus métier longtemps hors de portée des moyens informatiques peuvent désormais bénéficier des avantages des ordinateurs, périphériques et applications sans fil dans des secteurs jusque-là inaccessibles à l'informatique, tels que les ateliers de fabrication, les salles d'hôpital, les magasins et les restaurants. Les avantages présentés par la technologie sans fil varient d'une organisation à l'autre ; ils dépendent de plusieurs facteurs tels que nature de vos activités et taille et répartition géographique de vos effectifs. Avantages opérationnels Les principaux avantages opérationnels de la technologie réseau local sans fil, à savoir réduction des investissements et des coûts d'exploitation, peuvent se résumer comme suit : Les coûts d'équipement réseau des bâtiments sont considérablement réduits. Bien que la plupart des bureaux soient précâblés, certains espaces de travail, tels que les ateliers, les entrepôts ou les magasins, ne le sont pas. Des réseaux peuvent également être amenés sur des sites sur lesquels des réseaux câblés ne seraient pas envisageables : à l'extérieur, en mer, ou même sur un champ de bataille, par exemple. Le réseau peut facilement être adapté en fonction de l'évolution des besoins de l'entreprise, ou même d'un jour à l'autre ; il est infiniment plus simple de déployer une concentration supérieure de points d'accès sans fil sur un site donné que d'augmenter le nombre de ports réseau câblés. Les investissements ne sont plus liés aux bâtiments : les infrastructures de réseau sans fil peuvent être déplacées facilement vers un nouveau site, tandis que le câblage physique demeure dans les bâtiments. Problèmes de sécurité liés aux réseaux locaux sans fil Malgré tous ces avantages, un certain nombre de problèmes de sécurité ont limité l'adoption des réseaux locaux sans fil, notamment dans les secteurs pour lesquels la sécurité est essentielle, tels que les institutions financières ou gouvernementales. Bien que les risques de diffusion de données non protégées semblent évidents, un nombre surprenant de réseaux locaux sans fil sont installés sans aucune fonction de sécurité. La majorité des entreprises ont toutefois mis en place un certain nombre de mécanismes de sécurité sans fil ; ces fonctions de base de sécurité de première génération ne sont malheureusement absolument pas adaptées aux normes actuelles. Lors de l'établissement des premières normes IEEE 802.11 sur les réseaux locaux sans fil, les préoccupations de sécurité étaient bien loin des enjeux actuels. Le niveau et la sophistication des menaces étaient nettement inférieurs et l'adoption de la technologie sans fil commençait à peine. C'est dans ce contexte qu'apparut la norme WEP (Wired Equivalent Privacy), norme de sécurité sur les réseaux locaux sans fil de première génération. La norme WEP sous?estimait largement les mesures nécessaires pour faire en sorte que la sécurité sans fil soit comparable à la sécurité filaire. Les méthodes de sécurisation des réseaux locaux sans fil actuelles, en revanche, sont parfaitement adaptées aux environnements hostiles comme l'air, pour lesquels il n'existe aucun périmètre physique ou réseau défini. Il est capital de bien faire la différence entre la norme WEP statique de première génération (qui utilise un mot de passe partagé pour protéger le réseau) et les schémas de sécurité qui font appel à un cryptage WEP associé à une gestion renforcée des clés de cryptage et d'authentification. La première est un schéma de sécurité complet incluant une authentification et une protection des données ; nous la désignerons sous le nom de « WEP statique » dans ce document. La norme WEP dynamique, quant à elle, définit uniquement la méthode d'intégrité et de cryptage de données utilisée dans le cadre de solutions plus sécurisées, décrites dans la suite de ce document. Les failles de sécurité identifiées dans la norme WEP statique laissent supposer que les réseaux locaux sans fil protégés par cette norme sont vulnérables à différents types de menaces. Du fait de la libre diffusion d'outils d'audit de réseau tels qu'Airsnort et WEPCrack, s'introduire dans des réseaux sans fil protégés par la norme WEP statique est aujourd'hui devenu une simple formalité. Les réseaux locaux sans fil non sécurisés sont de toute évidence exposés aux mêmes menaces, si ce n'est que les attaques exigent moins d'expérience, de temps et de ressources. Avant de nous intéresser de plus près aux solutions actuelles de sécurité pour réseaux locaux sans fil, nous commencerons par passer en revue les principales menaces qui pèsent sur les réseaux locaux sans fil. Celles-ci sont répertoriées dans le tableau qui suit. Tableau 1 : Principales menaces de sécurité pesant sur les réseaux locaux sans fil Menace Description de la menace Écoute clandestine (divulgation de données) L'écoute clandestine des transmissions réseau peut conduire à la divulgation de données confidentielles ou de certificats utilisateur non protégés et donc à un risque d'usurpation d'identité. Elle permet également à des utilisateurs expérimentés mal intentionnés de recueillir des informations relatives à votre système informatique afin d'attaquer d'autres systèmes ou des données normalement non vulnérables. Interception et modification de données transmises Si un pirate parvient à accéder au réseau, il peut y adjoindre un ordinateur malveillant pour intercepter et modifier les données échangées entre deux utilisateurs autorisés. Usurpation L'accès permanent à un réseau interne permet à un intrus d'envoyer des données semblant émaner d'un utilisateur autorisé par le biais de procédés normalement inutilisables depuis l'extérieur du réseau (message électronique usurpé, par exemple). Les utilisateurs (y compris les administrateurs système) ont tendance à faire bien plus confiance aux éléments issus de leur réseau d'entreprise, qu'à ceux provenant de l'extérieur. Refus de service L'utilisateur malveillant dispose ici de toute une palette de possibilités. Des perturbations du signal radio peuvent être déclenchées à l'aide d'un dispositif aussi simple qu'un four à micro?ondes, par exemple. Les attaques les plus sophistiquées prennent directement pour cible les protocoles sans fil de bas niveau, tandis que des attaques moins élaborées se contentent de submerger le réseau local sans fil de trafic aléatoire. Free-loading (ou vol de ressources) Un intrus peut avoir pour seul objectif d'utiliser votre réseau en guise de point d'accès gratuit vers Internet. Bien que cette menace présente des conséquences moins graves que celles citées précédemment, elle aura pour effet de réduire la qualité de service disponible pour vos utilisateurs autorisés, sans parler du risque d'introduction de virus et autres dangers. Risques accidentels Certaines fonctions des réseaux locaux sans fil peuvent aggraver les risques liés aux attaques non intentionnelles. Un visiteur autorisé qui démarre son ordinateur portable sans avoir l'intention de se connecter à votre réseau, par exemple, peut être automatiquement intégré au réseau local sans fil de votre entreprise. Le portable de votre visiteur devient ainsi un point d'entrée potentiel pour des virus susceptibles d'attaquer votre réseau. Ce type de risque constitue uniquement un problème sur les réseaux locaux sans fil non sécurisés. Réseaux locaux sans fil malveillants Même si votre entreprise n'a officiellement déployé aucun réseau local sans fil, vous n'êtes pas à l'abri de voir apparaître des réseaux locaux sans fil illicites sur votre réseau. Ce matériel peu onéreux, installé par des employés enthousiastes, peut entraîner des vulnérabilités inattendues sur votre système. Les problèmes de sécurité liés aux réseaux locaux sans fil, braqués sur la norme WEP statique, ont eu un large écho dans les médias. Malgré l'existence d'excellentes solutions de sécurité pour combattre ces menaces, les entreprises, quelle que soit leur taille, restent réservées quant à l'adoption de réseaux locaux sans fil ; certaines ont même interrompu le déploiement de la technologie de réseau local sans fil ou ont même été jusqu'à bannir son utilisation. Voici une liste des principaux facteurs contribuant à cette confusion et au consensus général selon lequel réseaux locaux sans fil et insécurité sont indissociables : Le doute subsiste quant à la différenciation des technologies de réseau local sans fil qui sont fiables et celles qui ne le sont pas. Après la succession de failles découvertes dans les fonctions de sécurité initiales du standard WEP statique, les entreprises sont méfiantes à l'égard de toute mesure de sécurisation des réseaux locaux sans fil. La déconcertante liste de standards officiels et de solutions propriétaires prétendant résoudre les problèmes ne contribue guère à éclaircir la situation. Le caractère invisible du réseau local sans fil pose problème aux administrateurs de la sécurité du réseau, tant au niveau de la gestion de la sécurité, que sur le plan psychologique. Alors qu'on peut parfaitement voir un intrus brancher un câble sur un réseau filaire, l'intrusion dans les réseaux locaux sans fil est beaucoup moins tangible. Les défenses de sécurité physiques traditionnelles, telles que murs et portes, qui contribuent à la protection de votre réseau câblé, ne sont d'aucun secours dans le cas d'un réseau sans fil. Les entreprises sont désormais beaucoup plus conscientes de la nécessité de sécurisation des informations. Elles deviennent de plus en plus exigeantes quant à la sécurité de leurs systèmes et de plus en plus méfiantes à l'égard des technologies porteuses de vulnérabilités. Parallèlement à cette sensibilisation croissante à la sécurité, des exigences législatives et réglementaires régissant la sécurité des données commencent à apparaître dans un nombre grandissant de pays et de secteurs de l'industrie. L'un des exemples les plus connus de ce phénomène est le Health Insurance Portability and Accountability Act (HIPAA), imposé par le gouvernement américain en 1996 pour régir le traitement des données personnelles de santé. Haut de page Comment sécuriser (réellement) votre réseau local sans fil Depuis la révélation des failles de sécurité des réseaux locaux sans fil décrites plus haut, les principaux fournisseurs de produits réseau, les organismes de normalisation et les analystes ont proposé diverses solutions pour combattre ces problèmes. Un certain nombre de réponses ont ainsi été apportées pour contrer les failles de sécurité des réseaux locaux sans fil. Les principales propositions sont les suivantes : ne pas déployer la technologie réseau local sans fil ; s'en tenir à la norme de sécurité WEP statique 802.11 ; recourir à un réseau privé virtuel pour protéger les données du réseau local sans fil ; recourir au protocole IPsec pour protéger le trafic du réseau local sans fil ; recourir à un cryptage des données et à une authentification 802.1X pour protéger le réseau local sans fil. Ces stratégies sont classées par ordre de satisfaction croissante, en termes de sécurité, de fonctionnalités et de convivialité, même si cette évaluation est subjective dans une certaine mesure. C'est la dernière proposition qui a la faveur de Microsoft : le recours à une authentification 802.1X et à un cryptage des données du réseau local sans fil. Cette approche est discutée dans la section qui suit, puis évaluée par rapport à la liste des principales menaces pesant sur les réseaux locaux sans fil identifiées plus haut (tableau 1). Les principaux avantages et inconvénients des autres propositions sont également abordés plus loin dans le document, à la suite de cette section. Protection du réseau local sans fil à l'aide d'un cryptage des données et d'une authentification 802.1X Cette stratégie présente un certain nombre d'avantages qui lui valent d'être recommandée (bien que son intitulé et le cortège de termes obscurs qui la définissent laissent à désirer !). Avant de discuter les avantages des solutions reposant sur cette stratégie, quelques explications sur la terminologie utilisée et sur les modalités de fonctionnement de cette approche s'imposent toutefois. Protection d'un réseau local sans fil La protection d'un réseau local sans fil implique trois principaux éléments : l'authentification de la personne (ou du périphérique) qui se connecte au réseau, identification qui constitue un gage de sécurité ; l'habilitation de la personne ou du périphérique à utiliser le réseau local sans fil, de façon à contrôler les accès au réseau ; la protection des données transmises sur le réseau, de façon à éviter les écoutes clandestines et les modifications non autorisées. Une fonction d'audit peut venir compléter ces trois éléments, bien que l'audit constitue principalement un moyen de vérifier et renforcer ces éléments. Authentification et autorisation sur le réseau La sécurité WEP statique repose sur un secret partagé simple (mot de passe ou clé) qui permet de s'authentifier sur le réseau local sans fil. Toute personne en possession de cette clé secrète peut accéder au réseau local sans fil. Le standard WEP initial ne fournit aucune méthode d'automatisation de la mise à jour ou de la distribution de ces clés, ce qui complique singulièrement leur modification régulière. Les failles cryptographiques de la norme WEP permettent ainsi à un utilisateur malveillant d'identifier les clés de cryptage WEP statiques en recourant à des outils simples. Pour renforcer la méthode d'authentification et d'autorisation, Microsoft et plusieurs autres éditeurs ont proposé une infrastructure de sécurité pour réseau local sans fil reposant sur le protocole 802.1X. Le protocole 802.1X est une norme de l'IEEE qui permet d'authentifier les accès à un réseau et, éventuellement, de gérer les clés utilisées dans la protection du trafic. Son utilisation n'est pas limitée aux réseaux sans fil ; il est également mis en œuvre sur de nombreux commutateurs de réseau local filaire haut de gamme. Le protocole 802.1X implique l'utilisateur du réseau, un périphérique d'accès au réseau (ou une passerelle) tel qu'un point d'accès sans fil, et un service d'authentification et d'autorisation sous la forme d'un serveur RADIUS (Remote Authentication Dial-In User Service). Le serveur RADIUS procède aux tâches d'authentification et d'autorisation d'accès des utilisateurs au réseau local sans fil. Le protocole 1X fait appel à un protocole IETF dit EAP (Extensible Authentication Protocol) pour effectuer la négociation de l'authentification entre le client et le serveur RADIUS (relayé par le point d'accès). Le protocole EAP est un protocole général qui gère plusieurs méthodes d'authentification, qu'elles reposent sur des mots de passe, des certificats numériques ou d'autres types d'identification. Le protocole EAP étant disponible sous forme de plug-in, il n'existe pas de type d'authentification EAP standard unique à utiliser. Différentes méthodes EAP, utilisant différents types d'identification et protocoles d'authentification, peuvent convenir selon les cas de figure. L'utilisation de méthodes EAP dans l'authentification sur les réseaux locaux sans fil est discutée dans une section ultérieure. Protection des données du réseau local sans fil L'authentification 1X et l'accès au réseau ne sont qu'une partie de la solution. L'autre élément fondamental est la protection du trafic du réseau local sans fil. Les failles de cryptage des données WEP décrites plus haut auraient pu être contrées si le protocole WEP statique avait inclus une méthode de mise à jour automatique et régulière des clés de cryptage. Les outils de décodage du protocole WEP statique doivent recueillir entre un et dix millions de paquets cryptés avec la même clé. Les clés WEP statiques demeurant bien souvent inchangées pendant plusieurs semaines ou plusieurs mois, un utilisateur malveillant n'a généralement aucun mal à recueillir cette quantité de données. Étant donné que tous les ordinateurs d'un réseau local sans fil partagent la même clé statique, toutes les données transmises peuvent être interceptées de façon à découvrir la clé. Le recours à une solution reposant sur le protocole 802.1X permet une modification régulière des clés de cryptage. Dans le cadre du processus d'authentification 802.1X sécurisé, la méthode EAP génère une clé de cryptage unique pour chaque client. Pour empêcher le décodage du protocole WEP (décrit plus haut), le serveur RADIUS impose régulièrement la génération de nouvelles clés de cryptage. Les algorithmes de cryptage WEP (présents dans la plupart des équipements pour réseaux locaux sans fil actuels) peuvent ainsi être utilisés de façon beaucoup plus sûre. WPA et 802.11i Bien que le cryptage WEP avec réattribution 802.1X dynamique des clés convienne dans la plupart des applications pratiques, quelques problèmes subsistent : Le cryptage WEP utilise une clé statique distincte pour les transmissions globales telles que paquets de diffusion. Contrairement aux clés individualisées par utilisateur, la clé globale n'est pas renouvelée régulièrement. Bien que les données confidentielles soient rarement transmises par diffusion, le recours à une clé statique pour les transmissions globales donne aux utilisateurs malveillants la possibilité de découvrir des informations sur le réseau, telles qu'adresses IP ou noms d'ordinateurs et d'utilisateurs. La protection de l'intégrité des trames réseau sécurisées à l'aide du protocole WEP est très insuffisante. En recourant à des techniques cryptographiques, un pirate peut modifier les informations contenues dans la trame du réseau local sans fil et procéder à la mise à jour de la valeur de contrôle d'intégrité de la trame à l'insu du récepteur. Avec l'augmentation de la vitesse de transmission sur les réseaux locaux sans fil, l'amélioration de la vitesse de calcul et l'optimisation des techniques cryptanalytiques, les clés WEP doivent nécessairement être renouvelées plus fréquemment. La charge répercutée sur les serveurs RADIUS risque de s'avérer rapidement inacceptable. Pour résoudre ces problèmes, l'IEEE travaille actuellement à une nouvelle norme de sécurité pour les réseaux locaux sans fil : le standard 802.11i ou RSN (Robust Security Network). La Wi-Fi Alliance, consortium des principaux fournisseurs d'équipements Wi-Fi, a mis au point ce que l'on peut considérer comme une version préliminaire de la norme 802.11i et l'a publiée dans un standard connu sous le nom de WPA (Wi-Fi Protected Access). Le standard WPA inclut un large éventail des fonctionnalités de la norme 802.11i. La publication du standard WPA a permis à la Wi-Fi Alliance d'exiger une stricte conformité avec la norme WPA pour tous les équipements portant le logo Wi-Fi et aux fournisseurs d'équipements réseau Wi-Fi d'offrir une option standardisée de haute sécurité préalablement à la publication de la norme 802.11i. Le standard WPA associe un ensemble de fonctions de sécurité unanimement considérées comme les techniques de sécurisation de réseaux locaux sans fil les plus fiables à ce jour. Le standard WPA se décline en deux modes ; le premier utilise la norme 802.1X et une authentification RADIUS (mode WPA) et le deuxième un schéma simplifié reposant sur une clé pré?partagée pour les environnements SOHO (WPA PSK). Le standard WPA allie un cryptage robuste au puissant mécanisme d'authentification et d'autorisation du standard 802.1X. La protection WPA des données élimine les failles identifiées du protocole WEP en : utilisant une clé de cryptage unique pour chaque paquet ; recourant à un vecteur d'initialisation beaucoup plus long, permettant de doubler l'espace réservé aux clés par l'ajout de 128 octets supplémentaires ; ajoutant une valeur de contrôle d'intégrité dans un message signé et non vulnérable aux usurpations d'identité et autres falsifications ; intégrant un compteur de trames cryptées de façon à bloquer les attaques par relecture. Toutefois, étant donné que le standard WPA utilise des algorithmes cryptographiques similaires à ceux du protocole WEP, il peut être mis en place sur le matériel existant par le biais d'une simple mise à niveau des microprogrammes. Le mode PSK du standard WPA permet en outre aux petites entreprises et aux télétravailleurs d'utiliser un réseau local sans fil à clés partagées sans aucun des inconvénients du protocole WEP statique (à condition que la clé pré?partagée choisie soit suffisamment sûre pour éviter les attaques par simple décodage du mot de passe). Tout comme pour le WEP dynamique et le WPA RADIUS, des clés de cryptage individuelles sont générées pour chaque client sans fil. La clé pré-partagée fait office d'information d'authentification ; tout possesseur de la clé est autorisé à utiliser le réseau local sans fil et reçoit une clé de cryptage unique pour protéger les données. Le mode 802.11i (RSN) permettra probablement aux réseaux locaux sans fil de bénéficier de niveaux de sécurité accrus, notamment d'une meilleure protection contre les attaques par refus de service ; sa mise sur le marché est prévue mi?2004. Méthodes d'authentification EAP Le protocole EAP, comme son nom le laisse supposer (E étant mis pour Extensible), gère plusieurs méthodes d'authentification. Ces méthodes peuvent faire appel à différents protocoles d'authentification tels que Kerberos, TLS (Transport Layer Security) et MS-CHAP (Microsoft-Challenge Handshake Authentication Protocol) et utiliser un large éventail de types d'identification tels que mots de passe, certificats avec mots de passe à usage unique et biométrie. Bien que chaque méthode EAP puisse théoriquement être utilisée avec le standard 802.1X, toutes les méthodes ne conviennent pas aux réseaux locaux sans fil ; la méthode utilisée doit en effet être adaptée à un environnement non protégé et être en mesure de générer des clés de cryptage. Les principales méthodes EAP utilisées avec les réseaux locaux sans fil sont les protocoles EAP-TLS, PEAP (Protected EAP), TTLS (Tunneled TLS) et LEAP (Lightweight EAP). Parmi eux, les protocoles PEAP et EAP-TLS sont pris en charge par Microsoft. EAP-TLS Le protocole EAP-TLS, standard IETF (RFC 2716), est probablement le protocole le mieux géré, sur les clients sans fil comme sur les serveurs RADIUS. Il utilise des certificats de clés publiques pour authentifier les clients sans fil et les serveurs RADIUS en établissant une session TLS cryptée entre eux. PEAP Le protocole PEAP est une méthode d'authentification en deux étapes. La première étape établit une session TLS avec le serveur et autorise le client à authentifier le serveur par le biais de son certificat numérique. La deuxième étape exige une seconde méthode EAP intégrée dans la session PEAP pour authentifier le client sur le serveur RADIUS. Le protocole PEAP peut ainsi faire appel à une grande diversité de méthodes d'authentification des clients, notamment des mots de passe avec le protocole MS-CHAP version 2 (MS-CHAP v2) et des certificats avec le protocole EAP-TLS intégré à PEAP. Les méthodes EAP de type MS-CHAP v2 ne sont pas suffisamment sûres pour être utilisées sans protection PEAP car elles seraient vulnérables à des attaques de dictionnaire hors connexion. Le protocole PEAP est très largement pris en charge dans le secteur et Microsoft Windows XP SP1 et Pocket PC 2003 bénéficient d'une prise en charge intégrée. TTLS Le protocole TTLS est un protocole en deux étapes comparable au protocole PEAP qui utilise une session TLS pour protéger une authentification de clients tunnellisés. Outre des méthodes EAP de tunnel, le protocole TTLS peut également utiliser des versions non EAP de protocoles d'authentification tels que CHAP, MS-CHAP et autres. Microsoft et Cisco n'assurent pas la prise en charge du protocole TTLS, mais des clients TTLS sont toutefois disponibles auprès d'autres fournisseurs pour différentes plate?formes. LEAP Le protocole LEAP est une méthode EAP propriétaire développée par Cisco, qui authentifie les clients par le biais de mots de passe. Malgré sa popularité, le protocole LEAP est exclusivement compatible avec les matériels et logiciels développés par Cisco et quelques autres fournisseurs. Le protocole LEAP présente aussi plusieurs failles de sécurité telles que vulnérabilité aux attaques de dictionnaire hors connexion (qui peuvent permettre à des pirates de découvrir les mots de passe des utilisateurs) et aux attaques de type de l'homme au milieu. Dans un environnement de type domaine, le protocole LEAP permet exclusivement d'authentifier l'utilisateur sur le réseau local sans fil, mais pas l'ordinateur. Sans authentification de l'ordinateur, les stratégies de groupe de la machine risquent de ne pas s'exécuter correctement, les paramètres d'installation des applications, les profils itinérants et les scripts de connexion d'échouer, et les utilisateurs n'ont pas la possibilité de modifier les mots de passe arrivés à expiration. Certaines solutions de sécurité pour réseaux locaux sans fil utilisent le standard 802.1X avec d'autres méthodes EAP. Certaines de ces méthodes EAP, telle la méthode EAP-MD5, présentent de nombreuses failles de sécurité lorsqu'elles sont mises en œuvre dans un environnement de réseau local sans fil et ne doivent par conséquent jamais être utilisées. D'autres méthodes gèrent l'utilisation de jetons à mot de passe unique et plusieurs autres protocoles d'authentification tels que Kerberos. Il y a fort à parier qu'elles seront amenées à avoir un impact significatif sur le marché des réseaux locaux sans fil. Avantages d'une solution 802.1X avec protection des données du réseau local sans fil Les principaux avantages d'une solution 802.1X sont récapitulés dans la liste qui suit : Sécurité optimale : cette solution d'authentification offre une sécurité optimale car elle peut utiliser des certificats client ou des noms d'utilisateur et des mots de passe. Cryptage renforcé : elle permet un cryptage renforcé des données transmises sur le réseau. Transparence : elle assure une authentification et une connexion transparentes sur le réseau local sans fil. Authentification des utilisateurs et des ordinateurs : elle permet une authentification séparée des utilisateurs et des ordinateurs. Un ordinateur peut ainsi être géré même si aucun utilisateur n'est connecté. Coût modique : prix modique des équipements réseau. Excellentes performances : le cryptage étant effectué au niveau des équipements du réseau local sans fil et pas par le processeur de l'ordinateur client, le cryptage du réseau local sans fil n'a aucune incidence sur les performances de l'ordinateur client. La solution 802.1X n'est cependant pas exempte d'inconvénients. Bien que la norme 802.1X bénéficie d'une acceptation quasi universelle, le recours à différentes méthodes EAP ne permet malheureusement pas de garantir une interopérabilité parfaite. Le standard WPA commence à peine à être adopté et n'est pas toujours disponible sur les équipements plus anciens. Le standard RSN de nouvelle génération (802.11i) est toujours en attente d'homologation et exigera le déploiement de mises à jour matérielles et logicielles (les équipements réseau devront probablement faire l'objet d'une mise à niveau des microprogrammes). Ces problèmes sont toutefois relativement mineurs et largement contrebalancés par les avantages de la solution, notamment lorsqu'on les compare aux graves déficiences des autres solutions discutées plus loin. Résilience de la solution 802.1X aux menaces de sécurité Les principales menaces de sécurité qui pèsent sur les réseaux locaux sans fil ont été décrites un peu plus haut dans ce document (dans le tableau 1). Ces menaces sont ré?évaluées dans le tableau ci?dessous à partir d'une solution reposant sur le standard 802.1X et sur une protection des données du réseau local sans fil. Tableau 2 : Évaluation des menaces de sécurité à la lumière de la solution proposée Menace Minimisation Écoute clandestine(divulgation de données) L'affectation dynamique des clés de cryptage, leur modification régulière et le fait que les clés sont uniques pour chaque session d'utilisateur impliquent que la récupération des clés et l'accès aux données est impossible avec les moyens actuellement connus, à condition que l'actualisation des clés soit suffisamment fréquente. Le standard WPA optimise la sécurité en modifiant les clés de cryptage par paquet. La clé globale (qui protège le trafic de diffusion) est redéfinie pour chaque paquet. Interception et modification de données transmises La mise en œuvre d'une intégrité et d'un cryptage renforcé des données entre le client et le point d'accès sans fil interdit à tout utilisateur malveillant d'intercepter les données transmises et de les modifier. L'authentification mutuelle entre le client, le serveur RADIUS et le point d'accès sans fil complique sérieusement toute tentative d'usurpation d'identité de la part d'un intrus. Le standard WPA améliore l'intégrité des données grâce au protocole Michael. Usurpation L'authentification réseau sécurisée empêche des individus non autorisés de se connecter au réseau et d'introduire des données usurpées par ce biais. Refus de service (DoS) Les attaques par submersion de données et autres attaques par refus de service au niveau du réseau sont empêchées par le contrôle des accès au réseau local sans fil via le protocole 802.1X. Ni le WPA, ni le WEP dynamique ne permettent de se protéger contre les attaques par refus de service 802.11 de bas niveau. Le standard 802.11i permet de remédier à ce problème. Il convient toutefois de noter que même ce nouveau standard ne mettra par les réseaux à l'abri de perturbations radio (de la couche physique). Ces vulnérabilités sont une caractéristique des réseaux locaux sans fil 802.11 actuels et communes à toutes les autres options abordées dans la suite de ce document. Free?loading (vol de ressources) L'exigence d'un niveau élevé d'authentification empêche toute utilisation non autorisée du réseau. Risques accidentels L'exigence d'une authentification sécurisée empêche toute connexion accidentelle au réseau local sans fil. Réseaux locaux sans fil malveillants Bien que cette solution ne traite pas directement le problème des points d'accès sans fil malveillants, la mise en œuvre d'une solution sans fil sécurisée de ce type décourage généralement les velléités de configuration de réseaux locaux sans fil illicites. Nous ne saurions toutefois trop vous conseiller d'établir et de publier une stratégie claire pour interdire l'utilisation des réseaux locaux sans fil illicites. Pour appliquer cette stratégie, vous pouvez faire appel à des outils qui analysent le réseau pour rechercher d'éventuelles adresses de points d'accès sans fil et à des équipements portables de détection de réseau local sans fil. Autres approches pour la sécurisation des réseaux locaux sans fil La section précédente a présenté de façon assez précise l'authentification 802.1X avec protection des données du réseau local sans fil. Cette section porte plus précisément sur les quatre autres options de sécurité envisageables pour les réseaux locaux sans fil (indiquées aux début de la section « Comment sécuriser (réellement) votre réseau local sans fil ». Ces quatre approches étaient les suivantes : ne pas déployer la technologie réseau local sans fil ; s'en tenir à la norme de sécurité WEP statique 802.11 ; recourir à un réseau privé virtuel pour protéger les données du réseau local sans fil ; recourir au protocole IPsec pour protéger le trafic du réseau local sans fil . Le tableau ci-après récapitule les principales différences entre ces approches et la solution 802.1X (l'option « Pas de réseau local sans fil » n'est toutefois pas incluse car elle n'est pas directement comparable aux autres). Ces options sont examinées de façon plus détaillée dans les sections qui suivent. Tableau 3 : Comparaison des différentes approches en matière de sécurité des réseaux locaux sans fil Fonctionnalité Réseau local sans fil 802.1X WEP statique VPN IPsec Authentification renforcée (1) Oui Non Oui, sauf pour les VPN utilisant une authentification par clé partagée Oui, en cas d'utilisation d'une authentification Kerberos ou à partir de certificats Cryptage renforcé des données Oui Non Oui Oui Connexion et reconnexion transparentes au réseau local sans fil Oui Oui Non Oui Authentification des utilisateurs Oui Non Oui Oui Authentification des ordinateurs (2) Oui Oui Non Oui Protection du trafic de diffusion et multidiffusion Oui Oui Oui Non Périphériques réseau supplémentaires exigés Serveurs RADIUS Non Serveurs VPN, serveurs RADIUS Non Sécurisation des accès au réseau local sans fil lui?même Oui Oui Non Non (1) Bon nombre d'implémentations VPN qui utilisent le mode de tunnel IPsec emploient un schéma d'authentification peu sécurisé par clé partagée (XAuth). (2) L'authentification de l'ordinateur permet à ce dernier de rester connecté au réseau local sans fil et au réseau d'entreprise, même si aucun utilisateur n'a ouvert de session sur le poste de travail. Cette option est indispensable au fonctionnement correct des fonctionnalités de domaine Windows suivantes : profils d'utilisateurs itinérants ; paramètres de stratégie de groupe de l'ordinateur (notamment scripts de démarrage et logiciels déployés) ; scripts de connexion des utilisateurs et applications déployées par le biais d'une stratégie de groupe. Option 1 – Ne pas déployer la technologie réseau local sans fil Peut-être le meilleur moyen d'enrayer les menaces de sécurité liées aux réseaux locaux sans fil est-il de les éviter en ne déployant aucun réseau local sans fil. Hormis le fait qu'elle n'apporte aucun des avantages inhérents aux réseaux locaux sans fil mentionnés précédemment, cette stratégie n'est pas exempte de pièges. Toute entreprise qui l'adopte est confrontée à ce que le META Group appelle le « prix du retardement », coût qui se mesure bien plus qu'en termes d'opportunités perdues. Les résultats de l'étude réalisée par le META Group reposent sur une analyse du déploiement anarchique des réseaux locaux filaires dans de nombreuses organisations depuis plus de dix ans. Dans la plupart des cas, les services informatiques centraux ont été obligés d'intervenir et de prendre en charge le déploiement des réseaux locaux de façon réactive. Les coûts de restructuration de cette multitude de réseaux locaux indépendants et bien souvent incompatibles se sont généralement révélés exorbitants. Pour plus d'informations, reportez-vous à l'article « Comment limiter mon exposition aux menaces de sécurité des réseaux locaux sans fil ? » Les nouvelles réalités de la protection des données de l'entreprise », publié par le META Group, le 18/12/2002). Cette même menace a refait surface avec les réseaux locaux sans fil, plus particulièrement dans les entreprises de grande taille, où il est souvent impossible de visualiser les événements qui surviennent dans chaque site. Le déploiement incontrôlé de réseaux locaux sans fil, rendu possible par le coût extrêmement faible des composants, est sans doute le pire des scénarios. Il expose en effet l'organisation à toutes les menaces de sécurité précédemment citées, sans même que les services informatiques centraux en soient informés ou soient en mesure de prendre les mesures qui s'imposent. Par conséquent, si votre stratégie consiste à ne pas adopter la technologie de réseau local sans fil, mieux vaut opter pour une démarche active que passive. Votre décision doit être appuyée par une politique clairement affichée et vous devez vous assurer que tous les employés en sont informés et qu'ils connaissent les conséquences d'une éventuelle violation. Vous pouvez également songer à recourir à des équipements d'analyse et de surveillance des paquets réseau pour détecter l'utilisation de matériel sans fil non autorisé sur votre réseau. Option 2 – Recourir à une sécurité 802.11 de base (WEP statique La sécurité 802.11 de base (WEP statique) utilise une clé partagée pour contrôler l'accès au réseau et fait appel à cette même clé pour crypter le trafic sans fil. Ce modèle d'autorisation simple est souvent complété par un filtrage des ports reposant sur les adresses matérielles des cartes réseau local sans fil, bien que ce filtrage ne fasse pas à proprement parler partie de la sécurité 802.11. Le principal attrait de cette approche réside dans sa simplicité. Bien qu'elle assure un certain niveau de sécurité sur les réseaux locaux sans fil non sécurisés, elle présente néanmoins de sérieux inconvénients, en termes de gestion comme de sécurité, surtout pour les grandes entreprises. Voici quelques-uns des inconvénients liés à l'utilisation du WEP : Les clés WEP statiques peuvent être découvertes en l'espace de quelques heures sur un réseau chargé, par le biais d'un PC équipé d'une carte réseau local sans fil et d'outils de piratage tels qu'Airsnort ou WEPCrack. La principale faille du WEP réside dans le fait qu'aucun mécanisme ne permet de procéder à une affectation ou à une mise à jour dynamique de la clé de cryptage réseau. En l'absence des protocoles 802.1X et EAP pour imposer des mises à jour régulières des clés, l'algorithme de cryptage utilisé par le WEP est vulnérable aux attaques de récupération de clés décrites plus haut. Les clés statiques peuvent être modifiées, mais la procédure correspondante exige une intervention manuelle sur les points d'accès et les clients sans fil et demande généralement beaucoup de temps. Et pour accentuer encore le problème : les mises à jour des clés doivent être effectuées simultanément sur les clients et sur les points d'accès, afin d'éviter la déconnexion des clients. Compte tenu de ces difficultés, les clés ne sont généralement pas modifiées dans la pratique. La clé statique doit être partagée entre tous les utilisateurs du réseau local sans fil et tous les points d'accès sans fil. Un secret partagé entre un grand nombre d'utilisateurs et de périphériques reste rarement confidentiel très longtemps. Le protocole WEP offre un mécanisme de contrôle d'accès très limité aux réseaux locaux sans fil, qui repose sur la connaissance de la clé WEP. Si vous découvrez le nom du réseau (ce qui relativement simple), ainsi que la clé WEP, vous pouvez vous y connecter. Pour remédier à ce problème, vous pouvez configurer les points d'accès sans fil de façon à ce qu'ils autorisent exclusivement un ensemble prédéfini d'adresses de cartes réseau clientes. On parle dans ce cas de filtrage d'adresses MAC (Media access control) ; la couche MAC fait référence au microprogramme de bas niveau de la carte réseau. Le filtrage des adresses des cartes réseau en guise de contrôle d'accès comporte son propre lot d'inconvénients : La capacité de gestion est extrêmement faible. À moins de disposer d'un nombre très réduit de clients, la tenue d'une liste des adresses matérielles s'avère difficile. La distribution de cette liste et sa synchronisation sur l'ensemble de vos points d'accès relèvent aussi de la gageure. L'évolutivité est extrêmement réduite. La taille de la table de filtrage des points d'accès peut être limitée, ce qui restreint le nombre de clients susceptibles d'être pris en charge. Dans la mesure où aucun moyen ne permet d'associer une adresse MAC à un nom d'utilisateur, vous pouvez uniquement effectuer l'authentification sur la base de l'identité des ordinateurs, et non de celle des utilisateurs. Un intrus peut usurper une adresse MAC « autorisée ». S'il parvient à découvrir une adresse MAC légale, il n'aura aucune difficulté à l'utiliser en lieu et place de celle qui est prédéfinie sur la carte réseau. Les solutions reposant sur des clés prépartagées conviennent surtout en présence d'un faible nombre d'utilisateurs et de points d'accès, compte tenu de la difficulté de gestion des mises à jour des clés entre différents sites. Les failles cryptographiques inhérentes au protocole WEP remettent son efficacité en question, mêmes dans les environnements de taille très réduite. Le mode de clé pré?partagée WPA assure toutefois un bon niveau de sécurité, sans trop de bouleversements d'infrastructure pour les petites entreprises. Le protocole WPA PSK est pris en charge par une grande diversité d'équipements, et les clients du réseau local sans fil peuvent être configurés manuellement. Il s'agit donc sans doute là de la configuration de prédilection pour les environnements SOHO. Option 3 – Réseaux privés virtuels Les réseaux privés virtuels constituent probablement la forme la plus populaire de cryptage réseau ; bon nombre d'utilisateurs font appel à ces technologies testées et éprouvées pour protéger la confidentialité des données transmises sur Internet. Lors de la découverte des vulnérabilités inhérentes au WEP statique, le réseau privé virtuel a rapidement été proposé comme la méthode par excellence de sécurisation des données transitant sur un réseau local sans fil. Cette approche a bénéficié de l'aval de spécialistes tels le Gartner Group et a tout naturellement été vantée par les fournisseurs de solutions de réseaux privés virtuels. Le réseau privé virtuel constitue une excellente solution pour parcourir en toute sécurité un réseau hostile tel qu'Internet (bien que la qualité des installations de réseaux privés virtuels varie). Il ne s'agit pour autant pas de la meilleure solution de sécurisation de réseaux locaux sans fil internes. Dans ce cas de figure, un réseau privé virtuel n'offre qu'un nombre restreint d'options de sécurité supplémentaires (voire aucune) par rapport aux solutions 802.1X, mais il augmente significativement la complexité et les coûts, réduit le confort d'utilisation et rend certaines fonctionnalités essentielles inutilisables. Remarque : il convient d'établir une distinction avec l'utilisation de réseaux privés virtuels dans le cadre de la sécurisation du trafic sur des zones sensibles de réseaux locaux sans fil. La protection des données réseau des utilisateurs qui se connectent par le biais de réseaux distants hostiles correspond à une utilisation légitime des réseaux privés virtuels. Dans ce type de scénario, les utilisateurs s'attendent à ce qu'une connexion sécurisée soit plus intrusive et moins fonctionnelle qu'une connexion de réseau local ; leurs attentes sont toutes autres dans le cadre du réseau interne de l'entreprise. Voici quelques-uns des avantages de l'utilisation de réseaux privés virtuels dans la protection des réseaux locaux sans fil : La plupart des entreprises bénéficient généralement d'un réseau privé virtuel existant : les utilisateurs et le personnel informatique sont donc déjà familiarisés avec la solution. La protection des données par réseau privé virtuel utilise généralement un cryptage logiciel : les algorithmes peuvent donc être modifiés et mis à niveau plus facilement que dans le cas d'un cryptage matériel. Vous pouvez recourir à des équipements nettement moins onéreux car la protection par VPN est indépendante des équipements du réseau local sans fil (bien que sans commune mesure avec les prix imbattables des équipements réseau compatibles 802.1X, aujourd'hui envolés). L'utilisation de réseaux privés virtuels à la place d'une sécurité native du réseau local sans fil présente cependant de nombreux inconvénients : Le réseau privé virtuel manque de transparence pour les utilisateurs. Les clients du VPN exigent généralement l'établissement d'une connexion manuelle avec le serveur VPN de la part de l'utilisateur ; la connexion ne sera donc jamais aussi transparente qu'une connexion sur un réseau local filaire. Les clients de VPN non compatibles Microsoft exigent en outre parfois des informations d'identification à la connexion, en plus des connexions standard au réseau ou au domaine. Si le réseau privé virtuel se déconnecte, à cause d'un signal insuffisant sur le réseau local sans fil ou du déplacement de l'utilisateur entre deux points d'accès, l'utilisateur est obligé de se reconnecter. La connexion au réseau privé virtuel étant établie par l'utilisateur uniquement, un ordinateur inactif sur lequel aucune session n'a été ouverte ne peut jamais être connecté au VPN (et par conséquent au réseau local de l'entreprise). Un ordinateur ne peut donc être géré ou surveillé à distance que si un utilisateur est connecté. Certains paramètres de l'objet Stratégie de groupe (GPO) de l'ordinateur, tels que scripts de démarrage et applications attribuées par l'ordinateur, ne sont de ce fait jamais appliqués. Les profils itinérants, scripts de connexion et logiciels déployés pour l'utilisateur par le biais d'un GPO risquent de ne pas fonctionner correctement. À moins que l'utilisateur ne choisisse d'ouvrir une session à partir de l'invite de commandes de Windows, l'ordinateur ne se connecte au réseau local de l'entreprise qu'après l'ouverture d'une session et l'établissement par l'utilisateur d'une connexion avec le VPN. Les tentatives préalables d'accès au réseau sécurisé échouent. Dans le cas d'un client de VPN non compatible Microsoft, les tentatives d'ouverture de session sur un domaine complet par le biais de la connexion VPN sont parfois impossibles. La reprise après mise en veille ou mise en veille prolongée ne rétablit pas automatiquement la connexion au réseau privé virtuel ; l'utilisateur doit intervenir manuellement. Bien que les données contenues dans le tunnel VPN soient protégées, le réseau privé virtuel n'assure aucune protection pour le réseau local sans fil même. Un intrus garde la possibilité de se connecter au réseau local sans fil et peut tenter d'analyser ou d'attaquer certains des périphériques qui y sont rattachés. Les serveurs du VPN peuvent rapidement se transformer en goulets d'étranglement. Tous les clients du réseau local sans fil qui accèdent au réseau local de l'entreprise transitent par le serveur VPN. Les périphériques du VPN desservent généralement un grand nombre de clients distants basse vitesse ; la plupart des passerelles VPN ne sont par conséquent pas en mesure de gérer des dizaines ou centaines de clients qui s'exécutent à haute vitesse. Le coût lié aux équipements supplémentaires et à l'administration continue des périphériques du VPN est souvent nettement supérieur à celui d'une solution de réseau local sans fil native. Chaque site exige généralement son propre serveur VPN en plus des points d'accès au réseau local sans fil. Les sessions VPN sont nettement plus sujettes à déconnexion lorsque les clients se déplacent entre plusieurs points d'accès. Tandis que les applications tolèrent généralement une déconnexion momentanée lors du passage d'un point d'accès du réseau sans fil à un autre, les sessions VPN sont bien souvent interrompues, ce qui exige une reconnexion manuelle de la part de l'utilisateur. Le coût des licences des logiciels serveur et client VPN, ainsi que le coût lié au déploiement des logiciels, peut poser problème dans le cas de solutions VPN non compatibles Microsoft. Des problèmes de compatibilité peuvent également exister pour les logiciels clients du VPN car les clients autres que Microsoft remplacent souvent des fonctionnalités Windows essentielles. Bon nombre d'analystes et de fournisseurs continuent de soutenir que la sécurité des VPN est toujours meilleure que celle des réseaux locaux sans fil. Bien que cette affirmation puisse être vraie pour les solutions WEP statiques, ce n'est pas nécessairement le cas pour les solutions EAP de type 802.1X décrites dans ce document. Les méthodes d'authentification du VPN, en particulier, sont généralement beaucoup moins sûres, et dans le meilleur des cas à peine équivalentes, mais certainement pas beaucoup plus fiables. Les solutions de réseau local sans fil prises en charge par Microsoft, par exemple, utilisent exactement les mêmes méthodes d'authentification EAP que les solutions VPN (EAP-TLS et MS-CHAP v2). La plupart des solutions VPN, notamment celles qui reposent sur le mode de tunnel IPsec, utilisent une authentification par clé pré-partagée (mot de passe de groupe). Les faits prouvent que ces solutions présentent de nombreuses vulnérabilités de sécurité, dont certaines communes avec le WEP statique. Un VPN ne sécurise en rien le réseau local sans fil lui-même. Bien que les données contenues dans les tunnels VPN soient protégées, tout utilisateur peut se connecter au réseau local sans fil et tenter d'attaquer des clients légitimes et autres périphériques présents sur le réseau local sans fil. Le VPN constitue une solution idéale pour la sécurisation du trafic transitant sur des réseaux hostiles, que l'utilisateur soit connecté par le biais d'une connexion large bande privée ou d'une zone réactive sans fil. Un VPN n'a jamais toutefois été conçu dans l'optique de la sécurisation du trafic sur des réseaux internes. Dans les entreprises où le VPN remplit ce rôle, il s'avère beaucoup trop lourd et limité en fonctionnalités pour l'utilisateur et beaucoup trop onéreux et complexe d'administration pour le service informatique. Dans les cas exceptionnels où une connexion particulière ou un type de trafic spécifique exigerait une sécurité renforcée, elle pourrait être assurée par un tunnel VPN ou un mode de transport IPsec venant s'ajouter à la protection de réseau local sans fil native. Cette utilisation des ressources réseau est nettement plus sensée. Option 4 – Sécurité IP Le protocole IPsec permet à deux homologues de s'authentifier mutuellement en toute sécurité sur un réseau et d'authentifier ou de crypter des paquets réseau individuels. Le protocole IPsec peut aussi bien s'utiliser pour la tunnellisation sécurisée d'un réseau sur un autre que pour la simple protection des paquets IP transmis entre deux ordinateurs. Des tunnels IPsec sont généralement mis en œuvre dans les connexions d'accès client ou VPN de site à site. Le mode de tunnel IPsec est une forme de réseau privé virtuel qui consiste en l'encapsulation d'un paquet IP entier à l'intérieur d'un paquet IPsec protégé. Il en résulte un débit accru des communications, comme dans le cas des autres solutions de réseau privé virtuel, ce qui n'est pas forcément souhaitable pour les communications entre des systèmes appartenant à un même réseau. Les avantages et les inconvénients du mode de tunnel IPsec ont été présentés dans la section précédente, consacrée aux réseaux privés virtuels. Le protocole IPsec permet également la sécurisation du trafic de bout en bout entre deux ordinateurs (sans tunnellisation) via le mode de transport IPsec. Tout comme le réseau privé virtuel, le protocole IPSec constitue une excellente solution dans de nombreuses circonstances, mais, comme nous le verrons dans cette section, il ne saurait en aucun cas se substituer à la protection native des réseaux locaux sans fil, mise en œuvre au niveau de la couche matérielle. Voici quelques-uns des avantages d'une protection par le biais du mode de transport IPsec : Elle est transparente pour les utilisateurs. À la différence des réseaux privés virtuels, elle n'exige aucune procédure de connexion spéciale. La protection IPsec est indépendante des équipements du réseau local sans fil. Elle exige seulement un réseau local sans fil ouvert et authentifié. Contrairement aux réseaux privés virtuels, elle ne requiert aucun serveur ni périphérique supplémentaire car la sécurité est directement négociée entre les ordinateurs à chaque extrémité de la communication. L'utilisation d'algorithmes cryptographiques n'est pas tributaire des équipements du réseau local sans fil. L'utilisation du protocole IPsec à la place d'une sécurité native du réseau local sans fil présente cependant de nombreux inconvénients : Le protocole IPSec utilise uniquement une authentification au niveau de l'ordinateur ; il ne permet pas la mise en œuvre d'un mode d'authentification reposant sur l'utilisateur. Il ne s'agit pas d'un gros problème pour la plupart des entreprises, mais des utilisateurs non autorisés ont la possibilité de se connecter à d'autres ordinateurs du réseau protégés par le protocole IPsec s'ils sont en mesure d'ouvrir une session sur un ordinateur autorisé. Remarque :certaines solutions IPSec mises en œuvre sur des plates-formes non Windows emploient une authentification exclusivement basée sur l'utilisateur. Comme dans le cas de la solution VPN, l'ordinateur n'est toutefois pas connecté au réseau tant que l'utilisateur n'a pas ouvert de session, ce qui interdit certaines opérations de gestion et désactive un certain nombre de paramètres utilisateur. La gestion de stratégies IPsec peut s'avérer complexe pour les entreprises de grande taille. Les tentatives de mise en œuvre d'une protection générale du trafic IP peuvent interférer avec des utilisations plus spécialisées d'IPsec exigeant une protection de bout en bout. Une sécurité complète exige le cryptage de l'ensemble du trafic de bout en bout, mais tous les périphériques ne sont pas forcément compatibles IPsec. Des données non cryptées doivent par conséquent être transmises à ces périphériques. Le protocole IPsec n'assure aucune protection à ces périphériques, qui sont donc exposés à tout utilisateur qui se connecte au réseau local sans fil. La protection IPsec intervenant au niveau du réseau et non pas au niveau de la couche MAC, elle n'est pas complètement transparente à certains périphériques du réseau tels que pare-feu. Certaines solutions IPsec ne fonctionnent pas sur les périphériques NAT (Network Address Translation). Une solution IPsec de bout en bout ne permet pas la protection du trafic de diffusion ou de multidiffusion car le protocole IPsec repose sur deux homologues qui s'authentifient mutuellement et qui s'échangent des clés. Bien que les données contenues dans les paquets IPsec soient protégées, le réseau local sans fil lui-même ne l'est pas. Un intrus garde la possibilité de se connecter au réseau local sans fil et peut tenter d'analyser ou d'attaquer certains des périphériques qui y sont rattachés ou de surveiller le trafic non protégé par le protocole IPsec. Le cryptage et le décryptage IPsec du trafic réseau augmentent la charge de travail des processeurs. Les serveurs fortement sollicités risquent d'être rapidement surchargés. Bien que ces surcharges de traitement puissent être transférées vers des cartes réseau spécialisées, celles-ci ne sont généralement pas installées par défaut. Tout comme le réseau privé virtuel, le protocole IPsec constitue une excellente solution pour la plupart des scénarios de sécurité, mais il n'est pas aussi efficace qu'une protection native du réseau local sans fil. Haut de page Sélection d'options de réseau sans fil adéquates L'exposé qui précède permet de conclure que la solution de réseau local sans fil 802.1X est, de très loin, le meilleur choix possible. Toutefois, comme nous l'avons vu dans la section « Protection d'un réseau local sans fil », dès lors que vous avez opté pour une solution 802.1X, vous devez sélectionner les options constitutives de la solution. Les deux principaux choix sont les suivants : utilisation de mots de passe ou de certificats pour l'authentification des utilisateurs et des ordinateurs ; recours à une protection WEP dynamique ou WPA pour les données du réseau local sans fil. Ces deux éléments sont parfaitement indépendants l'un de l'autre. Comme nous l'avons vu plus haut, Microsoft propose deux guides de solutions de sécurité pour les réseaux locaux sans fil ; le premier utilise une authentification par mot de passe et le second une authentification par certificat. Ces solutions fonctionnent aussi bien avec le WEP dynamique qu'avec le WPA. Sélection de la solution de sécurité la mieux adaptée à un réseau local sans fil L'organigramme ci?dessous récapitule les principales différences entre les deux solutions de sécurité pour réseau local sans fil. Figure 2 : Organigramme décisionnel pour la sélection d'une solution de sécurité pour réseau local sans fil La décision finale dépend de la taille de votre entreprise et des exigences requises en matière de sécurité. La plupart des organisations pourront utiliser l'une ou l'autre des solutions de réseau local sans fil Microsoft sans aucune modification. Les petites et moyennes entreprises, par exemple, optent généralement pour la solution la plus simple d'authentification par mot de passe, décrite dans le guide de la solution Sécurisation des réseaux sans fil avec PEAP et des mots de passe. Les grandes entreprises préfèrent généralement la solution reposant sur des certificats numériques, décrite dans le guide Sécurisation de réseaux locaux sans fil ? Une solution des services de certificats de Windows Server 2003. Bien que chacune de ces solutions ait plus particulièrement été conçue à l'intention de ces publics, il existe néanmoins une certaine marge de manœuvre. La solution Sécurisation des réseaux locaux sans fil avec PEAP et des mots de passe peut aussi bien être déployée par des organisations comptant quelques dizaines d'utilisateurs que par celles qui en comptent plusieurs milliers. La solution Sécurisation de réseaux locaux sans fil ? Une solution des services de certificats de Windows Server 2003concerne les entreprises comptant entre quelques centaines et plusieurs dizaines de milliers d'utilisateurs (les organisations comptant moins de cinq cents utilisateurs ne disposent généralement pas de ressources informatiques suffisantes pour déployer et gérer des autorités de certification). L'un des cas de figure les plus courants, qui n'est pas directement abordé dans ces guides, concerne les grandes entreprises qui optent pour le déploiement de solutions de réseau local sans fil reposant sur des mots de passe. Bien que les aspects techniques de la solution Sécurisation des réseaux locaux sans fil avec PEAP et des mots de passe s'appliquent aussi bien aux grandes qu'aux petites entreprises, la plupart des détails de conception, de planification et d'exploitation requis par les grandes entreprises ont été omis pour des raisons de simplicité. Fort heureusement, les similitudes entre l'architecture et les composants techniques utilisés dans les deux solutions vous permettent de combiner des éléments de ces deux solutions relativement aisément. L'annexe du guide Sécurisation des réseaux locaux sans fil avec PEAP et des mots de passe pourra vous aider à identifier les éléments appropriés dans chaque solution. WEP dynamique ou WPA ? La protection WEP des données, lorsqu'elle est associée à l'authentification renforcée et à la mise à jour dynamique des clés assurées par le protocole 802.1X et EAP, offre un niveau de sécurité qui convient très largement aux exigences de la plupart des entreprises. Le standard WPA améliore cependant ces niveaux de sécurité. Les différences entre l'utilisation du standard WPA ou du WEP dynamique dans l'une ou l'autre des solutions sont très minimes, et la migration d'un environnement WEP dynamique vers un environnement WPA est extrêmement simple. La migration d'un environnement WEP dynamique vers un environnement WPA implique les modifications suivantes : Si vos équipements réseau (points d'accès sans fil et cartes réseau sans fil) ne gèrent pas le standard WPA, vous devez vous procurer et déployer des mises à jour pour les microprogrammes. Les mises à jour des microprogrammes des cartes réseau sans fil sont généralement incluses dans les mises à jour des pilotes réseau. Vous devez activer le standard WPA sur vos points d'accès sans fil. La configuration des clients du réseau local sans fil doit être modifiée de façon à négocier une sécurité WPA au lieu d'une sécurité WEP. Le délai d'attente de session défini pour la stratégie d'accès distant du service IAS (Internet Authentication Service), utilisé pour forcer l'actualisation des clés WEP, doit être augmenté, de façon à réduire la charge de travail sur le serveur IAS. Remarque : le service IAS est la solution de serveur RADIUS de Microsoft ; il est inclus à Windows Server 2003 mais pas installé par défaut. Le standard WPA doit être votre choix de prédilection, si vous en avez la possibilité. Tenez toutefois compte des observations qui suivent, afin de déterminer si l'utilisation du standard WPA ne risque pas de se révéler plus problématique qu'utile. Vos équipements réseau ne gèrent peut-être pas le standard WPA (c'est rarement le cas pour les équipements récents, mais vous disposez peut-être d'une large base de matériel antérieur au standard WPA). La prise en charge des paramètres contrôlés par GPO n'est disponible que dans la version SP1 de Windows Server 2003 (prévue fin 2004) ; dans les versions antérieures, les paramètres WPA doivent être configurés manuellement sur les clients Windows XP. Le standard WPA n'est pas forcément pris en charge par l'ensemble de vos clients ; Windows 2000 et versions antérieures et Pocket PC ne gèrent pas par défaut le standard WPA, par exemple. Si vous considérez que vos infrastructures actuelles ne vous permettent pas de déployer le standard WPA, optez pour le déploiement d'une solution WEP dynamique et prévoyez une migration vers le WPA lorsque les circonstances vous le permettront. Haut de page Résumé Ce document devrait vous avoir fourni toutes les informations nécessaires à l'élaboration d'une stratégie de sécurisation de votre réseau local sans fil. Dans la première partie du document, nous avons passé en revue les principaux avantages des réseaux sans fil pour une entreprise ainsi que les menaces de sécurité pesant sur les réseaux locaux sans fil ne bénéficiant pas d'une sécurité adéquate. Nous avons ensuite expliqué comment combattre ces menaces par la mise en œuvre d'une sécurité reposant sur les standards 802.1X, EAP et sur une protection renforcée des données pour le réseau local sans fil. Les mérites relatifs de solutions telles que VPN, IPsec et sécurité WEP statique ont également été examinés. Enfin, la dernière section vous a fourni quelques conseils sur les options de sécurité à choisir pour votre réseau local sans fil et sur les solutions de sécurité Microsoft pour réseaux locaux sans fil les mieux adaptées à votre organisation. Haut de page Références Cette section fournit des références vers des informations complémentaires importantes et autres documentations de soutien en rapport avec ce document. La solution Microsoft Sécurisation des réseaux locaux sans fil avec PEAP et des mots de passe est disponible à l'adresse suivante : http://go.microsoft.com/fwlink/?LinkId=23459 La solution Microsoft Sécurisation de réseaux locaux sans fil ? Une solution des services de certificats de Windows Server 2003 est disponible à l'adresse suivante : http://go.microsoft.com/fwlink/?LinkId=14843 Pour des informations techniques plus précises sur le standard IEEE 802.11 et autres technologies connexes, consultez la section « 802.11 Wireless » du document « Windows Server 2003 Technical Reference », disponible à l'adresse suivante : http://www.microsoft.com/technet/prodtechnol/windowsserver2003/ proddocs/techref/w2k3tr_wir_intro.mspx Pour plus d'informations sur le standard 802.11, consultez la page Web IEEE 802.11, à l'adresse suivante : http://www.ieee802.org/11/ Pour plus d'informations sur le standard 802.1X, consultez la page Web IEEE 802.1X, à l'adresse suivante : http://www.ieee802.org/1/pages/802.1x.html Pour plus d'informations sur le standard EAP, consultez la spécification RFC 2284, à l'adresse suivante : http://www.ietf.org/rfc/rfc2284.txt?number=2284 Pour plus d'informations sur le standard WPA de la Wi-Fi Alliance, rendez-vous à l'adresse suivante : http://www.wi-fialliance.org/OpenSection/pdf/ Wi-Fi_Protected_Access_Overview.pdf Pour plus d'informations sur les réseaux sans fil, consultez le site Microsoft qui leur est consacré, à l'adresse suivante : http://www.microsoft.com/wifi Pour plus de précisions sur le protocole PEAP et sur son évaluation par rapport au protocole LEAP (et aussi aux protocoles EAP-TLS et EAP-MD5), consultez l'article « The Advantages of Protected Extensible Authentication Protocol (PEAP): A Standard Approach to User Authentication for IEEE 802.11 Wireless Network », disponible à l'adresse suivante : http://www.microsoft.com/windowsserver2003/techinfo/ overview/peap.mspx L'article du META Group « Comment limiter mon exposition aux menaces de sécurité des réseaux locaux sans fil ? » Les nouvelles réalités de la protection des données de l'entreprise », est disponible à l'adresse suivante : http://www.metagroup.com/cgi-bin/inetcgi/jsp/ displayArticle.do?oid=35725 Télécharger la solution complète Sécurisation des réseaux locaux sans fil avec PEAP et des mots de passe

 

 

Source : http://technet.microsoft.com/fr-fr/library/dd491901.aspx