Catégories
Prestations Audits Formations

Administration IIS 7.0 / 7.5 de Windows 2008

Vous voulez apprendre l’administration IIS 7 et IIS 7.5 ? Et bien, l’objectif du livre Internet Information Services (IIS) pour Windows Server 2008 R2: Concepts et 42 Travaux Pratiques est de vous rendre rapidement autonome et opérationnel dans son administration.

Les bases de l’administration IIS 7

L’objectif de ce livre est de mettre à plat les principaux composants de Microsoft Internet Information Services (IIS) 7 et 7.5, afin de guider l’administrateur pour qu’il puisse comprendre et agir là où c’est nécessaire et résoudre le problème rencontré : configuration, performances, défaillances, blocages, etc.

À l’origine, le contenu de ce document est un support de cours complet, exposé et travaux pratiques, destiné à des administrateurs Windows et ingénieurs système en charge de l’administration de serveurs Web qui fonctionnent sous Internet Information Services en versions 7.5 et 7.0.

Administration IIS 7.0 et IIS 7.5
Administration IIS 7.0 et IIS 7.5

Rôle de IIS

Internet Information Services est un ensemble de composants qui prennent en charge le fonctionnement des serveurs Web et FTP, ainsi que les sites et applications Web développés en HTML ou pour l’ASP, ASP.NET et CGI dans l’environnement Windows.

Ne vous inquiétez pas si la signification de ces sigles (ASP, ASP.NET, CGI) vous échappe pour l’instant, car ils sont expliqués par la suite.

Windows Server 2008 fournit IIS 7.0, également proposé dans Windows Vista. Windows Server 2008 R2 fournit IIS 7.5, également proposé dans Windows 7.

IIS présente une véritable particularité dans le monde Microsoft, ce qui peut le rendre difficile l’administration IIS 7.

Comprendre l’administration IIS 7 avancée

La première difficulté concerne un fondamental de IIS.

En effet, le logiciel IIS est destiné à héberger des applications développées par des développeurs, mais qui doivent être administrées par un administrateur. Autrement dit, par une personne dont le développement n’est à priori pas son domaine de compétence.

Certains administrateurs sont mêmes “allergiques” à tout ce qui concerne le développement.

Malgré tout, ce livre essayera d’éclaircir le plus possible les notions de développement nécessaires à la compréhension de IIS. En particulier, le développement ASP.NET sera présenté et expliqué dans ses grandes lignes.

En aucune façon, il ne s’agit d’apprendre à développer mais de comprendre le langage des développeurs. Ce sera aussi l’occasion de “démystifier” certains concepts de développement .NET, à travers son introduction.

Cela étant, il serait faux de s’imaginer qu’un développeur sera automatiquement à l’aise avec l’administration de Microsoft IIS. La raison est liée à la richesse de ce logiciel.

10 000 sites Web

Il faut comprendre qu’il s’agit d’un logiciel capable de gérer aussi bien un seul site web que 10 000 ou plus sur le même serveur. Ou bien, de gérer des fermes entières de serveurs web disposants tous de la même configuration, ou de configurations distinctes.

Et encore, ces exemples ne sont qu’un infime aperçu des possibilités de IIS.

Par ailleurs, il s’agit d’un logiciel qui une fois qu’il est installé, se fait souvent oublier. Jusqu’au jour où une application IIS cruciale commence à avoir des soucis : lenteurs, plantages, etc.

Face à ces problèmes, l’administrateur débutant tente souvent d’améliorer la situation en modifiant les paramètres exposés par l’outil le plus populaire, à savoir le Gestionnaire des services Internet (IIS). Puis, très vite, il se rend compte que IIS ne réagit pas exactement comme il l’avait imaginé. Parfois, la situation a pu empirer.

De plus en plus riche

L’administrateur découvre donc un logiciel qui derrière une simplicité apparente, est beaucoup plus riche qu’il n’y parait.

Afin de faire face à ces difficultés, l’objectif de ce livre est aussi de présenter des méthodologies de résolution de problèmes.

Démarche pédagogique

Par ailleurs, les principes suivants ont servi de base pour de l’élaboration du livre.

Vous trouverez en début de chapitre les concepts.

Vous trouverez une explication pour le cas d’usage de chaque exercice.

La solution est détaillée et commentée, étape par étape, jusqu’à l’atteinte de l’objectif. Afin de vous guider visuellement, des copies d’écrans ont été insérées. Enfin, un récapitulatif en fin d’exercice vous rappelle ce que venez d’apprendre.

Les très nombreuses questions soulevées par les stagiaires ont alimenté le contenu du livre. Notamment, les exercices tiennent compte des remarques des stagiaires précédents.

Pour faire les exercices, vous devez disposer d’une nouvelle installation de Windows Server 2008 R2, complètement mise à jour avec Windows Update. Idéalement, vous devez partir du fichier ISO natif de Microsoft.

Toutefois, certaines particularités de votre environnement de travail peuvent être un obstacle à la réalisation de certains exercices. Par exemple, un service pack peut venir modifier sensiblement le comportement de Windows et de IIS, ou bien vous ne disposez pas des autorisations nécessaires.

Par ailleurs, n’hésitez pas à comparer votre avancement avec les copies d’écrans.

Contenu du livre

Grâce à ce livre, vous serez en mesure de comprendre le fonctionnement d’IIS 7.0 et 7.5, afin de pouvoir le configurer, le sécuriser, le dépanner, le maintenir en condition opérationnelle et améliorer ses performances.

Vous découvrirez des possibilités sur l’administration IIS 7.0 et IIS 7.5, que vous ne soupçonnez probablement pas.

Ensuite, vous utiliserez des commandes PowerShell et AppCmd. Vous utiliserez aussi des outils moins connus mais utiles comme NETSH, DISM, SC, SFC, etc.

Puis, vous apprendrez aussi à utiliser le moniteur réseau intégré au navigateur. Il vous permet de visualiser les échanges entre le client et le serveur IIS.

Enfin, vous pourrez vous entraîner grâce aux 42 Travaux pratiques corrigés !

Les fichiers d’exemple sont téléchargeables.

Un descriptif de l’objectif introduit chaque exercice.

Pour vous permettre d’atteindre l’objectif, vous trouverez une démarche pas à pas pour vous guider.

De plus, afin de vous assurer d’être sur la bonne voie, de nombreuses copies d’écrans illustrent la solution.

Enfin, un récapitulatif vous rappelle ce que venez d’apprendre dans l’exercice.

Catégories
Prestations Audits Formations

Programme CCleaner : Savoir

Dans cet article, vous découvrirez comment le programme CCleaner peut vous servir pour améliorer le fonctionnement de Windows. En effet, le programme CCleaner est un logiciel gratuit d’optimisation du système d’exploitation Windows.

Le programme CCleaner de la société Piriform permet de nettoyer le disque et effacer ses traces, ainsi que les cookies. Il supprime aussi les fichiers inutilisés de votre système ce qui permet à Windows de fonctionner plus rapidement.

Prudence avec le programme CCleaner

Enfin, il dispose de fonctionnalités avancées pour supprimer les entrées inutilisées de la base de registre.

Malgré l’intérêt de cette fonctionnalité, vous devez faire preuve de vigilance dans son utilisation.

En effet, vous ne devez procéder au nettoyage de la base de registre que si c’est nécessaire. Car ce nettoyage touche des données vitales de Windows.

Si l’opération se passe mal, vous devrez peut être réinstaller Windows et vos programmes. Il est donc infiniment plus prudent de ne jamais le faire.

D’autant plus que le bénéficie espéré est symbolique.

C’est vrai pour CCleaner et tous les autres logiciels qui proposent cette fonctionnalité. Ce problème ne concerne pas les autres fonctionnalités de CCleaner.

Si malgré tout, vous souhaitez procéder au nettoyage de la base de registre, demandez systématiquement d’enregistrer les clés supprimées. Il s’agit d’une option, que CCleaner propose par défaut.

Le programme CCleaner préserve la vie privée

Le programme CCleaner nettoie les traces de vos activités en ligne comme votre historique Internet.

Programme CCleaner
(image: Michal Zacharzewski, SXC)

De cette façon, il vous aide à préserver votre vie privée par le nettoyage des informations confidentielles: les fichiers temporaires, l’historique, les cookies ainsi que les données saisies dans les formulaires en ligne sont supprimés des navigateurs Internet comme Internet Explorer, Firefox, Google Chrome, Opera ou Safari.

Il vide aussi votre poubelle Windows, la liste des documents récents, les fichiers temporaires et les fichiers journaux créés par les applications que vous avez installées.

De même, il nettoie les informations temporaires des applications tierces comme Media Player, eMule, Kazaa, Google Toolbar, Netscape, Microsoft Office, Nero, Adobe Acrobat, WinRAR, WinAce, WinZip et bien d’autres encore.

Virus et le programme CCleaner

En septembre 2017, Piriform a reconnu la présence d’un virus caché dans les versions de CCleaner 5.33.6162 et CCleaner Cloud 1.07.3191 pour les systèmes Windows 32 bits.

Quelqu’un a modifié illégalement ces versions avant leur publication.

A notre connaissance, la dernière version du programme CCleaner ne contient aucun spyware, adware ou virus. Il a été testé avec VirusTotal.

Même si vous ne pouvez pas compter sur les seuls résultats de VirusTotal, cela permet d’avoir un filtre supplémentaire.

Pour aller plus loin consultez l’article intitulé Comment supprimer mes informations sur Google et des autres sites web ?

Catégories
Prestations Audits Formations

Magazine sur la sécurité informatique

Vous trouverez dans cet article, nos avis pour choisir son magazine sur la sécurité informatique. Vous pourrez ainsi vous abonner à une revue spécialisée sur la sécurité informatique, grâce à un avis désintéressé.

Ces revues vous permettent d’améliorer votre éducation numérique.

Magazine sur la sécurité informatique
(image: Bartek Ambrozik)

Précision importante. Il n’y a aucun sponsoring de la part de ces magazines.

En revanche, nous avons été abonnés à chaque magazine sur la sécurité informatique, quand l’abonnement existe, présenté dans cette page. Dans le cas contraire, nous avons achetés les revues.

Mag Securs : magazine sur la sécurité informatique

Mag Securs est une revue généraliste en sécurité informatique, qui s’adresse plutôt aux décideurs avec un contenu assez peu technique.

Les informations concernant le droit restent précieuses car la technique ne fait pas tout.

De même, la lecture des missions d’autres professionnels se révèle instructive sur les difficultés ou les écueils rencontrés et les solutions mises en oeuvre.

Une revue à ne pas ignorer.

Pirate informatique et PC Pirate

Ces deux revues informatiques sont assez proches dans l’esprit. Les informations sont accessibles et s’adressent à un public informatique assez large qui se passionne pour les manipulations pratiques.

Elles proposent ou présentent des techniques, outils et méthodes liés à la sécurité informatique. Elles sont très accessibles.

Sauf erreur de notre part, il n’y a pas d’abonnement possible.

Pirates Mag

Une revue défunte mais dont les anciens numéros peuvent être achetés sur le site, via échange d’emails.

Compte-tenu des dates très anciennes de parution, une partie du contenu est évidemment périmée.

Cependant les dossiers sur la téléphonie sont loin d’être inintéressants pour débuter.

MISC

Une revue incontournable, car de qualité, qui s’adresse à un public averti de développeurs, pentesteurs, administrateur système et réseau, etc.

Les informations sont nombreuses, variées et souvent pointues. Les auteurs sont bons dans leur domaine, et certains se révèlent être parfois d’excellents pédagogues.

Certes, il y a quelques sujets qui sont s’adressent visiblement à des publics de connaisseurs.

Un autre avantage de cette revue est la présence des références qui sont fournies systématiquement à la fin de l’article. Ensuite, il suffit de suivre et d’exploiter ces pointeurs.

A ce jour, elle est la revue de référence en matière de sécurité informatique même si vous n’y trouverez pas tout (!)

Programmez

Certes il ne s’agit pas d’un magazine sur la sécurité informatique. Toutefois, certains articles décrivent les techniques liées à l’écriture de programme sécurisé.

Par ailleurs, ce magazine est aussi de qualité.

Bien évidemment, ce magazine s’adresse aux développeurs, débutants comme expérimentés.

L’intérêt majeur c’est que les rédacteurs sont des développeurs. De plus, ils abordent des langages qui sont parfois nouveaux pour certains lecteurs.

A ce propos, la connaissance de plusieurs langages, ou techniques, est un véritable atout pour un développeur. Encore plus, quand celui-ci se spécialise en sécurité informatique.

Livre à lire (et pas à stocker seulement)

A ce propos, lire l’excellent livre de Andrew Hunt et David Thomas The Pragmatic Programmer: From Journeyman to Master.

Certes ce n’est pas un magazine et il n’a rien à faire dans cet article. Toutefois, même si ce livre date de 1999, il est totalement d’actualité !

En effet, les techniques, les langages et les outils évoluent. Toutefois, certains problèmes se retrouvent toujours au fil du temps.

Ce n’est pas un livre pour apprendre un langage informatique. Il s’adresse à des développeurs débutants (ou pas) qui souhaitent apprendre rapidement les bonnes pratiques liées au développement informatique.

Catégories
Prestations Audits Formations

Les différences entre un “serveur” et un “server”

La notion de serveur fait référence à un ordinateur physique. Elle peut aussi faire référence à une édition d’un logiciel comme Windows Server, SharePoint Server, Exchange Server  ou SQL Server.

Dans le cas d’un logiciel, le mot serveur s’écrira généralement server.

Caractéristiques d’un ordinateur serveur

Généralement, vous trouverez sur un ordinateur serveur physique les composants suivants.

  • Plusieurs disques durs, certains pouvant être en attente en cas de besoin: notion de “spare”,
  • Des mécanismes de tolérances de pannes avec la redondance de disques, d’alimentation, de ventilation, etc.,
  • La présence de 2, 4, 8 voire 64 processeurs,
  • Une grande quantité de mémoire vive (RAM).

L’objectif de l’ordinateur serveur est d’offrir une meilleure résistance aux pannes, ainsi que des performances élevées.

Les ordinateurs qui ne sont pas des serveurs sont qualifiés de postes de travail, voire d’ordinateur personnel ou individuel.

Caractéristiques d’un logiciel serveur

Un logiciel serveur s’installe aussi bien sur un ordinateur serveur que sur un poste de travail. Il suffit que celui-ci réponde aux conditions de compatibilité matérielle et logicielle, notamment pour les pilotes.

Par exemple, il est possible d’installer Windows Server 2016 sur un ordinateur portable !

L’éditeur du logiciel n’a pas la possibilité d’obliger l’utilisateur à installer son logiciel sur un serveur-ordinateur. En revanche, il peut vous obliger à l’installer sur un ordinateur doté d’un système d’exploitation serveur, comme Windows Server 2012 R2.

Par exemple, Microsoft SQL Server existe en plusieurs déclinaisons, appelées éditions, dont certains ne peuvent pas s’installer sur Windows 10. Les éditions Entreprise et Standard de SQL Server s’installent uniquement sur les versions serveurs du système d’exploitation.

Les systèmes d’exploitation récents de Microsoft se déclinent en deux grandes familles : Windows 10 et Windows Server 2016.

Généralement, Windows 10 est installé sur un poste de travail ou un ordinateur individule. Tandis, que vous installerez Windows Server 2016 sur un serveur, dans une environnement de production.

En réalité, il s’agit du même programme, uniquement différencié par le type de produit. Le type de produit est enregistré dans la base de donnée interne appelée la base de registres. La gestion des différentes versions se fait grâce à deux variables stockées dans la base de registres : ProductType et ProductSuite.

La licence d’utilisation interdit de modifier ces valeurs.

Les versions de Windows Server 2012 R2 permettent d’avoir des fonctionnalités supplémentaires, comme la notion de domaine Active Directory, que n’offrent pas les versions de Windows 8.1.

Connaître les caractéristiques de son système

Dans une invite de commande (“cmd”), tapez la commande systeminfo.

Cette commande affiche diverses statistiques du système tels que le nom d’hôte, le nom du système d’exploitation, la version du système, la date d’installation, l’heure de démarrage du système, les correctifs installés et plus encore.

Parmi ces nombreuses informations figure la Configuration du système d’exploitation.

Celle-ci indique si le système d’exploitation hébergé par l’ordinateur est de type Serveur ou Station de travail.

Serveur
Commande Windows systeminfo

En complément, sachez qu’il existe aussi une version Windows spécifique. Il s’agit de Windows Embarquée (Embedded).

Catégories
Prestations Audits Formations

Autorisations Project Server

Les autorisations Project Server est un sujet complexe. car il existe deux types d’autorisations qui se superposent. Dans Project Server, une autorisation est la possibilité d’effectuer une action spécifique au sein de Project Server.

Le calcul des autorisations est instantané. Il n’est pas nécessaire de fermer la session. Il suffit de rafraîchir la page de l’utilisateur pour qu’il voit l’application des nouvelles autorisations.

Types d’autorisations Project Server

Il existe 2 types d’autorisations dans Project Server.

  • Les autorisations globales
  • Les autorisations par catégorie
Autorisations Project Server
Gérer les groupes Project Server

Autorisations Project Server globales

Les autorisations Project Server globales accordent ou refusent aux utilisateurs et aux groupes la possibilité d’effectuer des actions sur tous les objets de Project Web Access (PWA).

Par ailleurs, il s’agit d’autorisations indépendantes des projets ou des ressources.

De plus, toutes les autorisations globales peuvent être attribuées aux utilisateurs ou à des groupes d’utilisateurs. Il est plus facile de les gérer lorsqu’elles sont attribuées à des groupes plutôt qu’à des utilisateurs individuels.

Notamment, dans le menu Project Web Access Permissions vous avez la liste des autorisations globales autorisées pour tout Project Server. Si vous décochez une autorisation de la colonne Enable (Permettre), vous refusez cette autorisation à tous les utilisateurs de la ferme Project Server, y compris l’administrateur Project Server.

Groupes

Les autorisations Project Server peuvent être accordées à un utilisateur ou à un groupe auquel appartient l’utilisateur. Un utilisateur peut appartenir à plusieurs groupes.

PWA propose des groupes par défaut. Toutefois, vous pouvez modifier les autorisations des groupes par défaut en fonction de vos besoins. Vous pouvez aussi créer autant de groupes que nécessaire.

La population d’un groupe Project Server peut se faire en sélectionnant les utilisateurs ou en synchronisant les membres du groupe à un groupe de l’annuaire Active Directory. La mise à jour du groupe Active Directory sera appliquée automatiquement au groupe correspondant dans Project Server.

Autorisations Project Server par catégorie

Les autorisations Project Server par catégorie accordent ou refusent aux utilisateurs et aux groupes la possibilité d’effectuer des actions sur des projets, des ressources et des affichages spécifiques.

Une catégorie est un ensemble de projets, ressources et affichages.

Ce type d’autorisation introduit une gestion dynamique des autorisations, car l’autorisation accordée ou refusée s’appliquera à l’utilisateur en fonction de son rôle à l’intérieur du projet.

Vous pouvez assigner des autorisations Project Server différentes à des utilisateurs différentes, sur n’importe quel projet, grâce aux catégories.

PWA propose des catégories par défaut. Toutefois, vous pouvez créer autant de catégories que nécessaire.

Vous pouvez sélectionner les catégories qui seront accessibles à vos utilisateurs.

Il est préférable de faire l’association avec des groupes d’utilisateurs plutôt que des individus pour pouvoir les gérer plus facilement. L’association par défaut entre groupes et catégories est présentée dans le tableau de la page Default categories in Project Server.

A l’intérieur d’une même catégorie, deux groupes peuvent avoir des autorisations différentes.

Les autorisations Project Server accordées à un groupe, à l’intérieur d’une catégorie, peuvent se manipuler à partir de la catégorie ou à partir du groupe. Toutefois, il est plus pratique de manipuler les autorisations par catégorie à partir de la page catégorie.

Projets concernés

Vous avez deux possibilités pour définir sur quels projets les autorisations par catégorie s’appliquent:

  • soit tous les projets
  • soit des projets précis

Les autorisations Project Server par catégorie ne s’appliquent au projet que s’il répond à des critères supplémentaires.

Par exemple, si vous êtes membre d’un projet, vous aurez les droits en question. En revanche, si vous n’êtes pas membre du projet, vous n’aurez aucun droit sur le projet, même si l’autorisation de la catégorie vous donne des droits.

Ressources concernées

C’est à peu près identique aux projets. Vous avez deux possibilités pour définir sur quelles ressources les autorisations par catégorie s’appliquent:

  • soit toutes les ressources
  • soit des personnes précises

Les autorisations Project Server par catégorie ne s’appliquent à la ressource que si elle répond à des critères supplémentaires: Est-ce que la ressource est membre d’un projet de l’utilisateur ? Est-ce que la ressource est un descendant de l’utilisateur via Resource Breakdown Structure (RBS) ? etc.

Par ailleurs, le RBS est une structure de sécurité hiérarchique qui est généralement basée sur la structure de l’organisation. Vous devez utiliser le RBS pour attribuer dynamiquement des autorisations.

Modèles de sécurité des autorisations Project Server

Les modèles de sécurité des autorisations Project Server définissent les autorisations par défaut.

Notamment, il existe un modèle de sécurité pour chaque groupe de sécurité par défaut de Project Server.

Par ailleurs, vous pouvez utiliser un modèle de sécurité pour appliquer les droits correspondants à un groupe que vous avez créé.

Vous pouvez créer autant de nouveaux modèles de sécurité que vous en avez besoin. En revanche, vous ne devez pas modifier les modèles de sécurité par défaut. Vous pourrez ainsi retrouver les paramètres de ces modèles.

Règles de fonctionnement des autorisations

Si vous désactivez une autorisation Project Server au niveau de PWA, aucun utilisateur ne pourra bénéficier de l’autorisation.

De plus, les autorisations sont cumulatives. Project Server calcule les autorisations d’un utilisateur en cumulant les autorisations accordées dans tous les groupes et catégories auxquels appartient l’utilisateur.

Enfin, un droit refusé “l’emporte” toujours sur des droits accordés.

Catégories
Prestations Audits Formations

Outil de migration utilisateur USMT

Avec Windows XP, est apparu un outil précieux et attendu depuis très longtemps l’outil de migration utilisateur USMT (User State Migration Tool). Vous le trouvez aussi dans les nouvelles versions de Windows, jusqu’à Windows 10.

Vous pouvez le télécharger gratuitement avec le Windows ADK.

Dilemme de la migration

Pour comprendre le fonctionnement de l’outil de migration utilisateur USMT et son intérêt, prenez comme exemple Windows XP.

Lors de l’installation de Windows XP, deux possibilités s’offraient à vous.

Vous pouvez faire une mise à jour de votre système d’exploitation Windows 98. Dans ce cas, vous gardez vos paramètres personnalisés comme le dictionnaire Word. Vous risquez aussi de récupérer des dysfonctionnements précédents.

Une autre solution consiste à faire une nouvelle installation. Dans ce cas, vous pouvez aussi formater votre disque. Sauf que vous perdez vos paramètres personnalisés.

Toutefois, vous pouvez faire une nouvelle installation et garder les paramètres et les données de l’ancienne installation avec USMT. Car l’outil de migration utilisateur USMT migre les données utilisateur entre une ancienne et une nouvelle installation de Windows.

Outil de migration utilisateur USMT
(image : Svilen Milev)

Les apports de l’outil de migration utilisateur USMT

Avec l’outil de migration utilisateur USMT vous combinez les avantages des deux méthodes.

En effet, USMT aide à transférer les fichiers et les paramètres des utilisateurs d’un ordinateur qui exécute Windows 95 ou ultérieur, vers un ordinateur exécutant Windows XP.

Concrètement, vous pouvez récupérer des fichiers, des raccourcis, l’historique, les emails, le carnet d’adresses, etc. de la version précédente de Windows.

L’outil de migration utilisateur USMT permet de contrôler les fichiers et les paramètres à migrer à l’aide de fichiers de règles de migration au format .xml. Il contrôle aussi la collecte et la restauration des fichiers utilisateur et des paramètres grâce aux programmes ScanState et LoadState.

Il peut aussi procéder à des migrations hors connexion avec ScanState et Microsoft Windows PE.

Analyse et récupération avec ScanState

Prenons l’exemple d’un ordinateur sur lequel Windows 98 s’exécute. Le point de départ est le cd-rom d’installation de Windows XP, car dans le dossier Valueadd\msft\usmt se trouve l’exécutable ScanState.exe.

Dans Windows 10, vous devez télécharger Windows ADK pour récupérer ScanState et LoadState.

ScanState recueille les paramètres et données de l’utilisateur. Ensuite, il enregistre les données dans ce qu’on appelle le magasin de migration. Le magasin de migration est fichier physique.

Une fois la nouvelle installation de Windows XP terminée, vous lancez l’Assistant Transfert de fichiers et de paramètres [dans Démarrer / Tous les programmes / Accessoires / Outils système] qui vous guide pour récupérer les paramètres sauvegardés dans le fichier créé par ScanState .exe.

Une fois l’opération terminée, vous avez récupéré la personnalisation de Windows 98.

Application des personnalisations sauvegardées

Si vous le souhaitez, cette procédure peut être automatisée avec la commande LoadState.EXE qui est aussi dans le dossier Valueadd\msft\usmt ou dans Windows ADK.

Sur le poste Windows XP : LoadState /I migsys.inf /I miguser.inf //nomserveur/nompartage

Cette commande permet d’appliquer les paramètres Windows sauvegardés précédemment.

Catégories
Prestations Audits Formations

Domaine Active Directory

Dans cet article, vous allez comprendre l’intérêt d’un domaine Active Directory. Notamment, un domaine Active Directory simplifie la gestion des comptes et des ordinateurs. En effet, dans ce cas, Windows regroupe toutes les informations dans une base unique. Cette base est indépendante des ordinateurs du réseau.

Groupe de travail Windows

Dans un groupe de travail Windows, l’accès à un ordinateur exige une authentification par rapport à la base des comptes de l’ordinateur. Cette base est stockée dans un fichier intitulé SAM (Security Account Manager).

Si le groupe de travail est constitué de 10 ordinateurs avec un utilisateur par ordinateur et que tous les utilisateurs doivent accéder à tous les ordinateurs, l’administrateur doit créer 100 comptes au total. C’est d’autant plus lourd que l’opération doit être renouvelée partiellement lors de la perte d’un mot de passe.

Domaine Active Directory

Pour remédier à cette lourdeur, Microsoft propose d’utiliser un domaine Active Directory. Un domaine centralise la base des comptes dans un fichier intitulé NTDS.DIT. Cette base des comptes contient, entre autres informations, les comptes des ordinateurs qui font partie du domaine et les comptes des utilisateurs qui sont membres de ce domaine.

Pour créer un domaine Active Directory, il faut un ordinateur avec Windows Server. Par exemple, vous ne pouvez pas créer un domaine avec Windows 10.

Vous devez ensuite installer le rôle des services de domaine Active Directory (AD DS).

Puis, vous pouvez configurer directement le rôle en Windows PowerShell ou avec l’assistant graphique.

Domaine Active Directory
Domaine Active Directory

L’assistant vous interroge et vous demande notamment un nom de domaine, par exemple NOVA.AD (c’est un nom fictif). Notez que nous n’avons pas écrit NOVA.FR ou NOVA.COM afin de différencier l’Internet de l’Intranet.

Création des comptes utilisateurs

Une fois le domaine créé, vous créez les comptes utilisateurs (ALICE, BOB, CHARLES, etc.). Vous créez (ou vous rattachez) les comptes d’ordinateurs (ETOILE, MARS, VENUS, etc.) qui font partie du domaine.

Lorsque BOB cherche à se connecter au domaine NOVA.AD, il utilise l’ordinateur VENUS sur lequel il saisie son nom de compte (BOB), son mot de passe et son intention de se connecter sur le domaine NOVA.AD.

Selon un protocole défini au préalable, le contrôleur du domaine NOVA.AD vérifie les informations transmises lors de la demande d’ouverture de session par rapport à la base NTDS.DIT. Si ces informations sont correctes, le contrôleur de domaine renvoie un jeton (c’est une suite de caractères binaires) qui contient son accord d’ouverture de session, ainsi que la liste des groupes auxquels BOB appartient.

Vérification du jeton

Lorsque BOB cherche à accéder à une ressource (par exemple un dossier partagé) du domaine NOVA.AD, il présente son jeton à l’ordinateur (par exemple MARS) qui détient la ressource. MARS va aussitôt vérifier ce jeton auprès du contrôleur de domaine. Si NOVA.AD confirme son authenticité, MARS accepte la connexion demandée par BOB. Autrement dit, MARS ne contrôle pas l’authenticité de la demande de connexion par rapport à sa propre base SAM mais par rapport à la base NTDS.DIT du contrôleur de domaine.

Que se passe-t-il si le contrôleur de domaine a un crash ? Il est conseillé d’avoir plusieurs contrôleurs de domaine sur le même domaine afin d’assurer une meilleure robustesse au crash d’un contrôleur de domaine. Pour installer un second contrôleur de domaine, il est nécessaire d’avoir un autre ordinateur sur lequel est installé Windows Server 2008. Lors du lancement de DCPROMO.EXE, vous indiquez que le contrôleur de domaine que vous êtes en train d’installer est un nouveau contrôleur de domaine d’un domaine existant.

L’assistant cherche à contacter le contrôleur de domaine existant. Quand il a réussi, il recopie intégralement la base NTDS.DIT. A la fin de l’installation du nouveau contrôleur de domaine celui-ci se comporte exactement comme le premier, pour le service d’authentification. Attention, il existe d’autres services d’architecture qui font que les deux contrôleurs de domaine ne sont pas exactement équivalents.

Toutefois, afin d’avoir des mécanismes de résistance de panne et d’assurer un meilleur équilibrage des ressources, il est nécessaire d’installer plusieurs contrôleurs de domaine dans un même domaine.

Catégories
Prestations Audits Formations

Groupe de travail Windows

Dans cet article, vous allez découvrir à quoi correspond la notion de groupe de travail Windows. En effet, pour gérer les utilisateurs, les ordinateurs et toutes les ressources d’un réseau Microsoft utilise un groupe de travail Windows ou un domaine Windows.

Vous verrez dans l’article suivant l’explication des domaines Windows.

Ouvrir une session

Pour ouvrir une session sur un poste Windows, vous saisissez un nom de compte (par exemple, ALICE) puis vous saisissez un mot de passe. Windows accepte d’ouvrir la session uniquement si les deux informations (nom de compte, mot de passe) sont exactes. La vérification s’effectue par rapport à une base des comptes stockée dans un fichier qui s’intitule SAM (Security Account Manager).

Un groupe de travail Windows consiste à réunir sous un même nom (par exemple, WORKGROUP ou GALAXIE) des ordinateurs qui se trouvent sur un même réseau. Le plan d’adressage IP leur permet de communiquer entre eux.

Ainsi, grâce à l’explorateur, l’utilisateur voit les ordinateurs du groupe de travail  Windows regroupés sous le lien Réseau.

Groupe de travail Windows
Groupe de travail Windows

Accéder à un partage de fichiers

Qu’est-ce qui se passe lorsque l’utilisatrice ALICE veut se connecter sur un partage de l’ordinateur MARS du groupe de travail GALAXIE ? Et bien, cet ordinateur contrôle l’existence du compte ALICE et son mot de passe, par rapport à son fichier SAM.

Ce qui signifie que l’administrateur doit avoir créé un compte ALICE, avec le bon mot de passe, sur l’ordinateur MARS pour qu’ALICE puisse se connecter au partage.

Si le compte n’est pas créé ou si le mot de passe est différent, ALICE se verra proposer de saisir un nom de compte et un mot de passe.

Tant que ces informations ne seront pas connues de MARS, ALICE ne pourra pas se connecter.

L’administrateur informatique en charge de l’installation et la maintenance du groupe de travail GALAXIE, devra donc créer un compte ALICE. De plus, l’administrateur devra indiquer le bon mot de passe sur tous les ordinateurs du groupe de travail GALAXIE. Il devra le faire au moins sur les ordinateurs sur lesquels ALICE est susceptible de se connecter.

S’il existe plusieurs ordinateurs, cela signifie probablement qu’il existe plusieurs utilisateurs. Il faudra donc répéter ces opérations de créations de compte pour chaque utilisateur, soit une combinatoire qui monte vite.

Par ailleurs, il est nécessaire de prévoir des procédures en cas de perte de mot de passe. Idem en cas de crash d’un ordinateur. Sachez que Microsoft n’autorise pas plus de 10 connexions simultanées sur un poste de travail Windows 7 ou Windows 10.

Groupe de travail Windows

Malgré la simplicité apparente du groupe de travail, vous devriez ne l’utiliser que pour des environnements avec moins de 7 ordinateurs.

En effet, la gestion des comptes peut se révéler complexe au-delà de 6 ou 7 postes de travail.

Pour résoudre ce problème, Microsoft propose de travailler en domaine Active Directory.

Catégories
Prestations Audits Formations

Qu’est-ce qu’un thread ?

Dans cet article, vous allez découvrir à quoi correspond la notion de thread dans un système d’exploitation. Notamment, vous allez apprendre à créer les threads dans Windows. Si vous souhaitez aller plus loin, un outil spécifique est proposé.

Un programme est un ensemble ordonné d’instructions. Tant qu’il ne s’exécute pas, le programme est du code “mort”.

Windows et les programmes

Pour pouvoir s’exécuter, un programme moderne a besoin d’un système d’exploitation, comme par exemple Windows. Notez que cela n’a pas toujours été le cas, car au début de l’informatique le système d’exploitation et le programme n’étaient pas dissociés.

Ainsi, un virus logé dans un programme sur une clef USB ne contaminera pas votre ordinateur tant que ce programme ne sera pas exécuté.

Naissance d’un  processus

Lorsqu’un programme ou une application s’exécute, il devient un processus.

Vous pouvez créer tout de suite un processus. Si vous voulez le faire, appuyez simultanément sur les touches suivantes de votre clavier Ctrl + Maj+Echap : le Gestionnaire des tâches se lance. C’est un premier processus qui s’intitule Taskmgr.exe.

Dans le Gestionnaire des tâches, cliquez dans le menu sur Fichier puis Exécuter une nouvelle tâche : la fenêtre Créer une tâche apparaît.

Dans la zone Ouvrir, tapez iexplore.exe et cliquez sur le bouton OK : Internet Explorer se lance. Vous venez de créer un second processus.

Tout processus possède au moins une unité d’exécution (thread). Le thread bénéficie (= consomme) de la CPU et s’appuie sur les ressources (= mémoire, par exemple) du processus. Un processus peut avoir plusieurs threads.

Thread et Nombre de threads

Vous allez le vérifier. Pour ce faire, dans le Gestionnaire des tâches, cliquez sur l’onglet Détails, vous verrez les processus en cours d’exécution.

Faites un clic-droit dans la zone avec le nom des colonnes (Nom, PID, Statut, etc.) puis cliquez sur Sélectionner des colonnes…

Dans la liste qui apparaît, cochez la case en face de Threads et cliquer sur OK.  Si vous ne voyez pas la colonne Threads, pensez à descendre la barre de défilement verticale de la liste.

Dans l’onglet Processus, vous voyez apparaître le nombre de threads par processus.

Thread
Threads

Maintenant, vous allez trier la liste des processus sur leur nom. Pour ce faire, cliquez sur la colonne qui s’intitule Nom dans le Gestionnaire des tâches.

La première fois, le tri se  fait dans l’ordre alphabétique descendant du nom du processus.

Cherchez le processus Taskmgr.exe. Autrement dit, le Gestionnaire des tâches lui-même. Notez le nombre de thread présents dans la colonne Threads en face de Taskmgr.exe (par exemple 21).

Maintenant, toujours dans le Gestionnaire des tâches, cliquez dans le menu sur Fichier puis Exécuter une nouvelle tâche : la fenêtre Créer une tâche apparaît.

Le nombre de thread a augmenté d’une unité (par exemple 22).

Voir fonctionner les threads

Si vous voulez en en savoir plus, téléchargez, installez et exécutez Process Explorer de Mark Russinovich.

Notamment, vous verrez les composants du thread actif à un instant ‘t’.

Catégories
Prestations Audits Formations

Qu’est-ce que le slipstreaming ?

Dans cet article vous allez découvrir le rôle et l’intérêt du slipstreaming. Il s’agit d’une technique qui permet de faire gagner du temps aux administrateurs. Notamment, si vous devez déployer de nombreux ordinateurs.

Services packs Windows

Les services packs Windows sont des programmes qui corrigent les défauts des programmes originaux, ou bien apportent de nouvelles fonctionnalités. Un service pack (SP) s’exécute comme un programme. Lors de son exécution, il prépare les nouvelles versions corrigées des programmes à changer. Le service pack nécessite souvent un redémarrage de l’ordinateur, même s’il ne le demande pas toujours.

Pour un même produit, il existe plusieurs services packs identifiés par un numéro d’ordre (SP1, SP2, etc.) et jusqu’à maintenant le SP le plus récent englobe les SP plus anciens. Par exemple, il suffit d’installer le SP3 pour bénéficier des correctifs ou améliorations du SP2 et du SP1.

Il est impératif d’installer le dernier service pack pour maintenir son ordinateur le plus à jour possible. Cependant, même si c’est nécessaire ce n’est pas suffisant car la parution des services packs est toujours très tardive par rapport aux failles de sécurité.

Aussi, Microsoft propose d’autres solutions pour pallier à ce problème, comme par exemple Microsoft Update pour télécharger des correctifs de sécurité.

Slipstreaming
Slipstreaming

L’inconvénient du SP est d’allonger le temps de manipulation par l’administrateur informatique. Si par exemple, vous installez Windows 7 sans le SP, vous devrez installer ensuite le SP1 pour avoir votre ordinateur à jour, soit un double travail.

Technique du slipstreaming

La technique du Slipstreaming est apparue avec Windows 2000 chez Microsoft. Cette technique permet d’intégrer directement les correctifs du service pack dans une distribution de Windows. Le Slipstreaming permet de disposer d’une version Windows avec le dernier service pack.

L’avantage est d’avoir un gain de temps appréciable puisque l’installation de Windows Seven ne nécessite plus l’application du service pack.

Par contre, vous n’aurez pas la possibilité de désinstaller le service pack avec cette méthode.Vous trouverez la description détaillée de la technique d’intégration en faisant une recherche de Slipstreaming sur Google par exemple, ou vous pouvez utiliser l’excellent produit vLite qui simplifie considérablement les manipulations à faire.

Catégories
Prestations Audits Formations

Rôle et intérêt du SID Windows

Dans cet article, vous allez découvrir le rôle crucial du SID (Security Identifier) de Windows. En effet, le SID Windows permet de s’assurer de l’unicité d’un compte ordinateur ou d’un compte utilisateur.

SID Windows
SID Windows

Pour compléter cet article, lisez aussi l’article technique sur la notion de thread, ainsi que celui sur la notion de disque dynamique.

Il existe des différences importantes entre une installation unitaire de Windows 10 ou Windows Server 2016 et une installation de 3, 30, 300 voire 3000 ordinateurs.

Dès que vous devez installer plus de 2 ordinateurs, il s’agit d’un déploiement. Ces installations en nombre ne se font pas forcément en masse mais elles peuvent se faire dans le temps. A la fin de l’année, vous vous rendez compte que vous avez installé 3 ou 4 fois les 2 serveurs Windows.

Selon le nombre d’ordinateurs à installer, vous avez des outils et méthodes différents.

Les méthodes de déploiement les plus usuelles sont l’utilisation :

  • De fichiers de réponses
  • Des services d’installation à distance comme WDS (Windows Deployment Services)
  • D’un produit de télédistribution (Microsoft SMS, Alteris, produit maison, etc.)
  • D’un clonage d’un poste référent

Clonage et SID Windows

Le principe du clonage  est de dupliquer le contenu du disque, lorsque le système d’exploitation n’est pas chargé en mémoire, sur un autre ordinateur.

L’intérêt est de gagner du temps. En effet, avec cette méthode, il ne faut que quelques minutes pour obtenir un ordinateur prêt à l’emploi.

Malgré tout, elle recèle quelques difficultés.

Lors de l’installation de Windows, le système d’exploitation a généré un nombre unique sur 96 bits qu’il a attribué à l’ordinateur afin de l’identifier : c’est le SID (Security Identifier) de la machine.

Selon Microsoft, le SID Windows a la particularité d’être unique, grâce à son algorithme de création. Deux ordinateurs installés en même temps n’ont donc pas le même SID.

Windows peut identifier de manière unique un ordinateur grâce au SID. En effet, le nom de l’ordinateur n’est pas un identifiant fiable car il est possible de renommer un ordinateur.

Hors, depuis Windows 2000, il est impératif que tous les ordinateurs d’un même réseau physique aient des SID différents.

Remise à zéro du SID Windows

Les logiciels de clonage (Drive Image, Norton Ghost, Adonis TrueImage etc.) proposent des outils pour faire une remise à zéro (RAZ) du SID Windows juste avant l’opération de clonage, ainsi que Microsoft avec l’outil SYSPREP.

Au moment du démarrage Windows vérifie qu’il a un SID valide et si ce n’est pas le cas, il le régénère automatiquement.

Une autre solution consiste à utiliser l’outil NewSID de chez Sysinternals. Leur outil permet de régénérer le SID Windows de l’ordinateur, une fois débranché du réseau. C’est pratique notamment en cas d’oubli de remise à zéro du SID avant le clonage.

Lors de la création d’un compte utilisateur, ce compte se voit doté d’un identifiant permanent qui est composé du SID de l’ordinateur et d’un numéro incrémental, dont la numérotation débute à partir de 1000.

Par exemple, si le SID de l’ordinateur est S-1-5-21-3997812538-391827920-4443502175, le SID du compte de l’utilisateur sera quelque chose comme S-1-5-21-3997812538-391827920-4443502175-1006.

Catégories
Prestations Audits Formations

Découvrir les disques dynamiques

Dans cet article, vous allez découvrir les rôle et l’intérêt d’un disque dynamique. Notamment, vous découvrirez que grâce aux disques dynamiques, vous pouvez gérer plus simple vos espaces disques.

Pour compléter cet article, vous pouvez aussi lire l’article technique sur la notion de SID Windows.

Disque dynamique

Sous Windows / Intel, un disque dur physique classique possède jusqu’à 4 partitions. La partition permet de séparer le disque dur en zones distinctes sans risque de mélange des données. Généralement, l’accès à une partition se fait par une lettre lecteur de type C:, D:, E: etc.

Selon les besoins, une partition peut être définie comme principale ou étendue. Une partition principale peut stocker le secteur de démarrage: elle peut donc servir de partition active pour démarrer un système d’exploitation.

Pour utiliser un disque, il doit y avoir entre 1 et 4 partitions principales. Le total des partitions ne peut jamais dépasser 4. Une partition étendue ne peut pas servir pour démarrer un système d’exploitation. A l’intérieur d’une partition étendue, vous pouvez définir des lecteurs logiques afin de segmenter à nouveau le disque.

Généralement, l’accès à un lecteur logique se fait aussi par une lettre lecteur, comme les partitions. Sur un disque, il peut y avoir au maximum 1 partition étendue, dans laquelle il peut y avoir plusieurs lecteurs logiques.

Ce mécanisme de partitions principales et étendues est devenu trop limité pour les besoins modernes, notamment en ce qui concerne la gestion de l’espace disque. De nombreux outils spécialisés sont apparus sur le marché pour pallier à cette carence comme Partition Expert d’Acronis, par exemple.

Depuis Windows 2000

Microsoft a apporté une réponse plus globale en introduisant la notion de disque dynamique à partir de Windows 2000. Une fois que vous avez converti votre disque en disque dynamique à l’aide de la MMC diskmgmt.msc, sans perte de données, les partitions et les lecteurs logiques sont devenus des volumes.

Disque dynamique
Disque dynamique

Sous certaines conditions, vous pouvez étendre les volumes sur de l’espace non-alloué du disque, que cet espace soit contigüe ou non au volume à étendre. L’extension peut se faire aussi sur de l’espace non-alloué d’un autre disque dynamique.

Un des intérêts majeurs de cette opération est d’être transparent pour les utilisateurs et donc elle ne génère pas d’interruption de services. La simplicité d’utilisation et la rapidité de mise en oeuvre est aussi un atout pour l’administrateur.

A partir de Windows XP, Microsoft a fourni un nouvel outil, DISKPART, utilisable en ligne de commande. Cet outil fonctionne aussi bien pour les disques classiques que les disques dynamiques.

Outre la possibilité de l’utiliser en mode caractères, il est complètement scriptable. Vous créez un fichier texte, monscript.txt, dans lequel vous écrivez les commandes que vous voulez voir s’exécuter. Ensuite, il ne reste plus qu’à incorporer la commande DISKPART /S monscript.txt dans un fichier de commandes par exemple.

Catégories
Prestations Audits Formations

Qu’est-ce que la virtualisation Windows ?

Des produits spécialisés comme Microsoft Hyper-V ou VMWare permettent de virtualiser le fonctionnement d’un ou plusieurs systèmes d’exploitation sur un seul ordinateur. C’est ce qu’on appelle la virtualisation Windows ou Linux.

Virtualisation Windows
Virtualisation Windows

Autrement dit, il est possible de disposer de l’équivalent de plusieurs ordinateurs virtuels sur un ordinateur physique.

Virtualisation Windows ou Linux

Chacun de ces ordinateurs virtuels dispose d’un système d’exploitation indépendant. Ainsi, vous pouvez installer un ordinateur qui fonctionne avec Windows Server, un second avec Windows 10 et un dernier avec une distribution Linux, le tout sur votre ordinateur qui fonctionne sur Windows 10.

Chaque ordinateur virtuel peut aussi disposer d’une adresse IP distincte.

L’intérêt est évident pour les domaines relatifs aux tests, aux développements multi-plateformes, aux formations ainsi qu’aux simulations diverses et variées. Il n’est plus nécessaire de s’encombrer de plusieurs ordinateurs physiques.

Cette technique génère une économie substantielle d’énergie électrique, de matériel, de place et surtout procure une très grande simplicité pour gérer ces environnements distincts.

Virtualisation Windows en environnement de production

Pour les mêmes raisons, il est aussi envisageable d’utiliser les ordinateurs virtuels en production. Cependant, il faut être conscient que la fiabilité du dispositif repose sur un ordinateur physique dont la stabilité, la robustesse et la tolérance aux pannes doivent être éprouvées. En effet, les conditions d’exécutions sont exigeantes et requièrent un serveur sécurisé et dimensionné correctement.

Si la mémoire doit être en conséquence, les inconvénients majeurs concernent surtout l’overhead (surcharge) CPU générée par l’émulation.

Une fois que le produit de virtualisation (VMware, Virtual PC, Hyper-V) est installé, la création d’un ordinateur est prise en charge par un assistant. Celui-ci émule une couche bios standard et il vous demande d’introduire le cd-rom d’installation du système d’exploitation.

La procédure d’installation du système d’exploitation est standard. Une fois le système d’exploitation installé et configuré (adresse IP, mémoire réservé, etc.) l’ordinateur virtuel est prêt à fonctionner. Bien évidemment, vous pouvez installer des applications ou accéder au matériel de l’ordinateur comme le lecteur de DVD.

Un ou plusieurs fichiers stockent sur le disque dur les données de l’ordinateur virtuel.

Suite à un crash, vous pouvez copier une sauvegarde de ce fichier sur un autre ordinateur équipé du produit de virtualisation et en quelques minutes vous disposez à nouveau d’un serveur opérationnel.

Catégories
Prestations Audits Formations

Retrouver mon mot de passe Access

Dans cet article, vous allez découvrir comment vous pouvez retrouver le mot de passe Access. En effet, vous pouvez protéger une base de données Access grâce à un mot de passe.

Pour comprendre la situation, il faut remonter 10 ans plus tôt. A cette époque, j’avais développé un petit exécutable qui se connectait à une base de données Microsoft® Access 2000 pour afficher son contenu.

Aujourd’hui, je souhaite récupérer la structure de ma base et son contenu. Le code source de l’exécutable est introuvable: il ne reste plus que la base (BASE.MDB) ainsi qu’un autre fichier (COMPTES.MDW). Lorsque je tente de lire BASE.MDB avec Access, celui-ci me demande un mot de passe Access que j’ai oublié depuis belle lurette.

mot de passe Access
(image : Sufi Nawaz)

Sécurité Access à partir d’Access 95

Du coup, je n’ai plus accès à mon propre travail. En effet, à partir d’Access 95, Microsoft a implémenté une protection facultative des bases de données par mot de passe. Access 2.0 ne dispose pas de ce mécanisme de sûreté.

Si vous avez activé le mot de passe Access de la base de données, une boîte de dialogue apparaît à chaque fois que vous ouvrez la base de données. Le mot de passe Access de base de données est le même pour tous les utilisateurs. Il n’est donc pas lié à un utilisateur ou à un compte. Pour cette raison, certains l’appellent parfois “le mot de passe partagé”.

Comme le mot de passe Access de base de données est stocké dans la base de données, il est arrivé qu’en cas de corruption de la base, Access considère qu’elle est protégée par un mot de passe. Dans ce cas, il est parfois possible de récupérer une base de données Access corrompu.

Récupérer le mot de passe Access de la base de données

Le logiciel Access Password Pro, qui récupère les mots de passe perdus pour les bases de données Microsoft Access ainsi que les mots de passe des utilisateurs, me révèle instantanément le mot de passe Access d’accès à la base de données (“Aa123456“).

Maintenant que j’ai le mot de passe Access d’accès à la base de données, il reste le plus dur. En effet, il existe un mécanisme supplémentaire de protection des données dans Microsoft Access: les mots de passe utilisateurs. Cette protection est aussi facultative.

Sécurité Access jusqu’à Access 2003

Toutes les versions d’Access, jusqu’à la version Access 2003 incluse, prennent en charge les mots de passe utilisateurs. Si vous avez activé ce système de sécurité, les utilisateurs doivent s’authentifier par un compte et un mot de passe Access lors de la connexion à Microsoft Access.

Sur un même objet (une table, etc.), deux utilisateurs distincts peuvent avoir des permissions différentes. Les autorisations peuvent être accordées soit à des utilisateurs, soit à des groupes internes d’Access.

Toutes ces informations de sécurité sont stockées dans une base de données système spécial. Celle-ci peut être partagée entre les différentes bases de données et des applications. En principe, cette base de données système est dans un fichier avec une extension .mda dans Access 2.0 et. mdw pour les autres versions. Toutefois, l’extension .mda est ambiguë car elle correspond aussi à des Add-ins d’Access, qui sont écrits en Microsoft® Visual Basic® for Applications (VBA).

Access 2000

Dans le cas d’Access 2000, cette base de données système à une extension .mdw.

Cette base contient toutes les informations liées au contexte de sécurité:

  • les noms des groupes avec leur mot de passe Access,
  • les noms des comptes utilisateurs avec leur mot de passe Access,
  • les appartenances des utilisateurs aux groupes,
  • les SID (identifiant unique) des groupes,
  • les SID (identifiant unique) des utilisateurs.

Puisqu’elle contient les informations nécessaires pour récupérer le contexte de sécurité des utilisateurs et des groupes, elle est cruciale pour accéder aux données. Si elle est perdue ou corrompue, vous serez incapable de modifier ou d’afficher vos données, même si vous avez le mot de passe Access d’accès à la base de données.

En effet, si vous avez le mot de passe Access d’accès à la base de données, mais que vous n’avez plus le fichier .mdw, vous obtiendrez des messages d’erreurs lorsque vous essayerez d’ouvrir une table: “Impossible de lire les définitions. Aucune autorisation de lecture des définitions pour la table ou la requête”, ou quand vous voudrez exporter les données: “Vous n’avez pas l’autorisation de copier. Pour copier cet objet, vous devez avoir l’autorisation d’accès Lire la structure. Si l’objet est une table, vous devez aussi avoir l’autorisation Lire les données”.

Dans Fichier > Utilisateurs et autorisations > Autorisations d’accès, vous serez avec l’utilisateur en cours: Administrateur (par exemple). En cliquant sur l’onglet Changer le propriétaire, tous les objets auront comme propriétaire actuel: <Inconnu>. C’est normal. Et bien évidemment, quand vous essayerez de changer de propriétaire, vous obtiendrez le message d’erreur: “Vous n’avez pas l’autorisation de changer le propriétaire. Pour changer le propriétaire d’un objet de base de données, vous devez avoir l’autorisation d’administrer celui-ci.”. C’est agaçant, hein ?

Sécurité Access à partir d’Access 2007

Access 2007, 2010 et 2013 ne disposent plus du mot de passe par utilisateurs. Malgré cette absence, la récupération des mots de passe d’Access 2007 est une opération beaucoup plus difficile que dans les versions antérieures. Elle nécessite souvent l’utilisation d’attaques par dictionnaire ou par force brute. Avec Access 2013, c’est pire encore car la protection de mot de passe Access a été encore plus renforcée, comme dans toute la suite Office 2013. Le mot de passe Access est très difficile à briser et la récupération de mot de passe Access 2013 est une tâche coûteuse.

En l’absence du fichier .mdw, vous pouvez chercher à recréer une nouvelle base de données système .mdw. Pour cela, il existe un utilitaire (WRKGADM.EXE) qui permet de le faire. Sinon, il faut passer par le menu d’Access 2000 ou 2003: Outils > Sécurité > Commande de menu de groupe de travail d’administrateur pour créer la nouvelle base de données système. Mais, pour être efficace, ce procédé suppose que vous connaissiez le nom des comptes réellement utilisés, ainsi que leur mot de passe Access.

Bien évidemment, j’avais enlevé tous les droits au compte Administrateur dans ma base Access, car ce compte étant archi-connu, il est attaquable. En 2000, j’avais créé des nouveaux comptes (“Venus”, “Pluton”, etc.) et j’avais attribué des droits aux différentes planètes sur mes tables Access (“Venus” était administrateur de la base). Mais aujourd’hui, impossible de me rappeler leurs noms et leur mot de passe Access.

Récupérer le mot de passe Access de l’utilisateur

Heureusement, l’autre fichier encore présent est le fameux .mdw. Il s’intitule COMPTES.MDW. Il a fallu utiliser une autre option d’Access Password Pro pour récupérer quasi-instantanément toutes les informations du contexte de sécurité (les noms des comptes, des groupes, les mots de passe, etc.) contenues dans le fichier COMPTES.MDW. Le mot de passe Access du compte Venus était “Zz999999” (enfin presque…).

C’est presque terminé. Maintenant, il faut fournir toutes ces informations à Access pour qu’il ouvre le fichier BASE.MDB avec le bon fichier .mdw (COMPTES.MDW). L’ouverture de la base s’est faite avec la commande:

“C:\Program Files (x86)\Microsoft Office\Office14\MSACCESS.EXE” BASE.MDB /Wrkgrp COMPTES.MDW /user Venus /pwd Zz999999 puis la saisie du mot de passe Access de la base de données (“Aa123456”) dans la pop-up qui est apparu.

Avec ces informations, Microsoft® Access 2000 m’a laissé à nouveau administrer pleinement la base.

Ultime conseil lié à la sécurité: convertissez vos bases de données Access en Microsoft Access 2013, c’est encore mieux.

Catégories
Prestations Audits Formations

Se protéger des ransomwares

Le chantage au cryptage de disque dur revient en force ces derniers jours avec TeslaCrypt et CryptoLocker, qui appartiennent à la famille des ransomwares. Aussi, cet article explique comment se protéger des ransomwares et comment s’en débarrasser.

Ce n’est pas nouveau mais ça fait toujours autant mal.

Se protéger des ransomwares
(image: Bartek Ambrozik)

Principe des ransomwares

Avant de voir comment se protéger des ransomwares, il est essentiel de comprendre son fonctionnement.

Un ransomware, ou rançongiciel en français, est un malware qui chiffre certains de vos fichiers en utilisant des clefs secrètes. Le chiffrement signifie évidemment que le contenu des fichiers n’est plus compréhensible.

De plus, le chiffrement concerne certains fichiers du disque dur (documents word, excel, images, etc.), ainsi que ceux des partages réseaux.

Le ransomware s’installe généralement grâce à une pièce jointe infectée d’un message électronique. Il suffit qu’un seul de vos utilisateurs clique sur la pièce jointe pour que le ransomware se déclenche et infecte votre réseau.

Demande de rançon

Lorsque le ransomware a fini de chiffrer vos fichiers, il affiche un écran qui vous invite à payer une rançon entre 100 $ et 1000 $ (voire plus) afin de déchiffrer les fichiers.

L’écran affiche aussi une minuterie indiquant que vous avez 2 ou 3 jours pour payer la rançon. Si vous ne payez pas avant ce délai, soit votre clé de déchiffrement sera supprimée et vous n’aurez plus aucun moyen pour déchiffrer vos fichiers, soit le montant de la rançon augmente.

Généralement, vous devrez payer la rançon à l’aide de bitcoins ou dans une autre crypto-monnaie. Cette méthode de paiement ne permet pas de retrouver facilement l’identité de l’encaisseur du paiement.

Une fois que vous avez envoyé le paiement, le programme doit déchiffrer les fichiers qu’il a chiffrés.

Cependant attention ! Vous n’avez aucune certitude de recevoir la clé de déchiffrement. C’est la raison pour laquelle, vous ne devriez jamais payer.

Par ailleurs, à ce jour, compte-tenu du chiffrage fort et de l’implémentation, il n’existe pas de solutions efficaces pour déchiffrer les fichiers chiffrés à l’aide d’un logiciel du commerce sans la clé de déchiffrement.

Enfin, les ransonwares s’attaquent à toutes les entreprises, de toutes tailles et de toutes natures, ainsi qu’aux particuliers. Personne n’est à l’abri.

Se protéger des ransomwares

La première démarche à faire pour se protéger des ransomwares est de disposer d’un antivirus à jour.  Il existe des antivirus gratuits et des antivirus payants.

Un antivirus payant coûte souvent moins de 60 € / an et par utilisateur. Il peut même coûter beaucoup moins cher.

Si vous avez un antivirus, vous réduisez fortement les risques d’avoir un ransomware sur votre réseau. Toutefois, vous ne pouvez pas garantir que vous n’en aurez jamais.

Une autre mesure à prendre pour se protéger des ransomwares est de rappeler à vos utilisateurs de ne jamais ouvrir une pièce jointe qui provient d’un expéditeur inconnu. Il faut même leur apprendre à se méfier des pièces jointes inhabituelles mises par un expéditeur connu.

Enfin, si vous voulez vous protéger des ransomwares, pensez aussi à faire des sauvegardes régulières. L’absence de sauvegardes nuit gravement à la santé de votre système d’informations.

Pour se débarrasser du ransomware

Afin de revenir à une situation saine, vous devez suivre la procédure suivante :

  1. Supprimer le malware
  2. Repartir d’une sauvegarde
  3. Utiliser un point de restauration

Bien évidemment, vous pouvez être dans une situation plus complexe que celle qui est décrite ici. Dans ce cas, vous pouvez faire appel à nos services pour vous aider.

Notez que vous pouvez récupérer vos données d’une sauvegarde manuelle, ou d’un cliché instantané si la restauration du système est active. La restauration à partir d’un cliché instantané est simplifiée grâce à des outils gratuits comme ShadowExplorer.

Pour connaître la liste des fichiers chiffrés par le malware, vous pouvez utiliser http://download.bleepingcomputer.com/grinler/ListCrilock.exe. Pour en savoir plus, consultez l’article CryptoLocker Ransomware Information Guide and FAQ.

Lorsque vous faites des sauvegardes, pensez à les échelonner. En effet, vous devez faire des sauvegardes quotidiennes, hebdomadaires, mensuels (fin de mois), annuels (fin d’année).

Idéalement, triplez-les : les disques durs externes sont de moins en moins chers.

Comment se prémunir d’un ransomware comme CryptoLocker

CryptoLocker est un programme qui est apparu en septembre.

Ce malware se propage sous forme d’une pièce jointe au format Zip attaché à un email. Le fichier Zip contient un exécutable avec l’icône PDF pour faire croire à un fichier Acrobat PDF.

Si vous avez le moindre doute avec une pièce jointe, passez-la au crible de VirusTotal. Même si vous ne pouvez pas compter sur les seuls résultats de VirusTotal, cela permet d’avoir un filtre supplémentaire.

L’outil, gratuit pour les particuliers, CryptoPrevent vous aidera à éviter de vous faire contaminer.

En effet, cet outil interdit l’exécution de CryptoLocker à partir de ses emplacements préférés. Son éditeur Foolish IT propose aussi un service payant facultatif de mise à jour automatique de CryptoPrevent.

Les entreprises peuvent s’appuyer aussi sur Cryptolocker Prevention Kit pour protéger leurs domaines.

Liens utiles pour lutter contre les ransomwares

https://www.avast.com/fr-fr/c-ransomware

https://fr.malwarebytes.com/ransomware/

https://fr.norton.com/internetsecurity-malware-ransomware-5-dos-and-donts.html

https://www.kaspersky.fr/resource-center/threats/ransomware-threats-an-in-depth-guide

https://www.bitdefender.fr/tech-assist/self-help/removing-police-themed-ransomware-malware.html

https://www.cnetfrance.fr/produits/guide-protection-fichiers-ransomware-39836850.htm

https://www.ssi.gouv.fr/actualite/alerte-campagne-de-rancongiciel/

https://www.ssi.gouv.fr/actualite/ne-soyez-plus-otage-des-rancongiciels/

Catégories
Prestations Audits Formations

Installer automatiquement des logiciels

En complément de l’article sur les mises à jour automatiques de logiciels, il existe sur Internet de nombreux outils gratuits et simples pour installer automatiquement des logiciels à jour.

En effet, vous savez qu’il est essentiel de disposer des dernières versions des logiciels  comme Adobe, Office, etc. Pourquoi ? Tout simplement, pour se prémunir le plus possible contre les vulnérabilités et donc les ennuis potentiels. Même si, par définition, cela ne vous protégera pas des vulnérabilités 0-Days.

Installation en une fois des logiciels

Par ailleurs, ces outils informatiques qui permettent d’installer automatiquement des logiciels sont en libre téléchargement. Ils sont donc gratuits.

De plus, ils installent les dernières versions de très nombreux logiciels. En effet, ils permettent de sélectionner des navigateurs web, utilitaires Windows, logiciels de vidéos ou d’images, outils de sécurité, partage de fichiers, stockage en ligne, outils de développements, etc.

Notamment, vous pouvez sélectionner en une fois plusieurs des logiciels qui vous intéressent ce qui permet d’installer automatiquement des logiciels en une fois.

Plus de barres d’outils intempestives

Par ailleurs, ils procèdent à des installations désencombrées des produits supplémentaires : pas d’add-on intempestifs, ni de barres d’outils, ni de moteurs de recherches supplémentaires, etc.

C’est un véritable avantage et un sacré gain de temps.

Dernière version au lancement de l’installateur

Surtout, ils permettent de garder à jour automatiquement les dernières versions de logiciels en lançant périodiquement l’installateur (le programme) qui a été téléchargé sur votre disque.

Désinstallation / Installation rapide

Un autre avantage de ces produits est de permettre une installation rapide de vos logiciels préférés. Ce qui peut parfois constituer une alternative aux installations des logiciels en mode portable.

D’une part, il n’existe pas toujours une version portable de son logiciel. Par ailleurs, dans des environnements peu sensibles, il est plus pratique d’installer son Everyday Carry (EDC) de logiciels.

Outils pour installer automatiquement des logiciels

Parmi la pléthore d’outils qui assurent ce genre de services, Ninite ou Zero Install se distinguent.

Installer automatiquement des logiciels
Installer automatiquement des logiciels
Catégories
Prestations Audits Formations

Qu’est-ce que Microsoft Attack Surface Analyzer ?

L’outil gratuit Attack Surface Analyzer de Microsoft vise à identifier les éventuelles failles de sécurité introduites par l’installation d’une nouvelle application sur un ordinateur Windows.

Les équipes internes de Microsoft utilisent Attack Surface Analyzer pour identifier les modifications faites à Windows lors de l’installation de nouveaux logiciels.

Il prend cliché de l’état du système Windows avant et après l’installation des produits. Ensuite, il affiche les modifications qui ont été faites sur Windows.

Vous pouvez le télécharger.

Attack Surface Analyzer
Attack Surface Analyzer

Attack Surface Analyzer procède à une analyse avant installation

Une fois installée, Microsoft Attack Surface Analyzer vous demande de procéder à une première analyse de votre PC avant l’installation de la nouvelle application, afin de capturer votre configuration actuelle.

L’analyse est faite par défaut avec l’option Run new scan.

Elle permet notamment de servir de base de référence pour la suite. Elle produit un fichier Baseline Cab qui contient des fichiers XML.

Ces fichiers XML énumèrent:

    • les assemblies du GAC,
    • les fichiers du PC,
    • les clefs de registre,
    • la configuration du parefeu Windows,
    • les partages réseaux,
    • les sessions d’ouverture,
    • les ports réseaux,
    • les canaux nommés (“named pipes”),
    • les tâches en auto-exécution (“autorun”),
    • les terminaisons RPC (“endpoints”),
    • les services,
    • les processus en cours d’exécution,
    • les threads,
    • les handles,
    • la configuration de IIS.

Les fichiers XML récupèrent aussi:

    • les SID des services,
    • les journaux d’événements de sécurité,
    • les pages mémoires exécutables,
    • le vidage du démarrage système.

Installation de la nouvelle application

Lorsque l’analyse initiale est terminée, vous installez votre nouvelle application. Par ailleurs, si l’installation de la nouvelle application nécessite un redémarrage, vous devrez redémarrer avant de lancer la nouvelle analyse.

Aussi, une fois la nouvelle application installée et, éventuellement le PC redémarré, une nouvelle analyse doit être lancée avec l’option Run new scan.

Elle produit un fichier Product Cab qui contient aussi les fichiers XML.

Génération du rapport de Attack Surface Analyzer

Lorsque les deux analyses précédentes sont terminées, le rapport doit être généré grâce à l’option Generate standard attack surface report.

Enfin, Microsoft Attack Surface Analyzer compare la Baseline Cab avec le Product Cab et il génère un rapport sous forme d’un fichier au format HTML.

Ce rapport est en 3 parties:

    • Résumé du rapport,
    • Problèmes de sécurité,
    • Surface d’attaque.

Résumé du rapport

Le résumé du rapport présente le détail des fichiers manipulés, ainsi que des informations générales sur l’ordinateur analysé.

Problèmes de sécurité

Jusqu’à maintenant, j’ai rencontré essentiellement des problèmes de sécurité liés aux ACL, ou à la désactivation du paramétrage NX (lire aussi nx-support-requirement-guide-windows-8), mais il existe bien sûr d’autres cas liés à l’architecture: Services, COM, DCOM, etc.

Par ailleurs, le bouton Explain renvoie vers l’aide qui est explicite.

Bien que ce produit s’adresse à des informaticiens, Microsoft a fait un excellent travail pédagogique en explicitant les notions rencontrées.

Notamment, pour ceux qui en veulent “plus”, l’aide contient de nombreux liens vers des ressources complémentaires.

Surface d’attaques

Dans la pratique, cette partie est un peu plus “touchy”.

En situation réelle, elle nécessite un travail personnel d’investigation non négligeable car il faut vérifier des dizaines, voire des centaines de lignes.

Certaines vérifications sont rapides (paramètres Internet Explorer, par exemple), d’autres nécessitent des vérifications approfondies (Kernel, processes, ACL, etc.).

Catégories
Prestations Audits Formations

Découvrir les fichiers au format Office Open XML

Microsoft Office utilise le format de fichiers Office Open XML depuis la version d’Office 2007. Ce format de fichiers ouvert est devenu un standard ISO en avril 2008.

Initiative Open XML

Un objectif de l’initiative Open XML a été d’intégrer dans le nouveau format les caractéristiques des milliards de documents qui existent déjà. Afin d’aider les utilisateurs dans cette tâche, Microsoft a développé un ensemble d’outils généralement méconnus pour certains d’entre eux.

Le Gestionnaire de planification de migration d’Office (OMPM) est un ensemble d’outils qui vous permet de préparer un environnement pour une migration vers Microsoft Office. Il contient un ensemble d’outils pour aider les organisations à analyser leurs documents et identifier les questions soulevées par une migration.

Après avoir scanné vos documents, vous pouvez importer les résultats dans une base de données Access puis visualiser le rapport. Pour chaque document, le rapport vous indique si l’outil a détecté des problèmes de conversion: chaque problème rencontré fait l’objet d’une proposition de solution

Eventuellement, vous pouvez utiliser Office File Converter (ofc.exe) pour convertir les documents dotés de l’ancien format binaire dans le nouveau format XML.

Office Open XML
Office Open XML

Avantages du format Office Open XML

Le premier avantage de ce format est d’être ouvert et gratuit.

Par ailleurs, ce format repose sur la spécification du format de fichier compressé ZIP. Concrètement, il s’appuie sur des définitions XML et des conteneurs ZIP.

Notamment, la plupart des parties du document sont des fichiers XML qui décrivent les données de l’application, les métadonnées et les données.

Le fichier conteneur ZIP stocke toutes ces données. Il stocke aussi les images, les objets OLE intégrés dans le document au format binaire.

Ensuite, il permet l’assemblage de documents disparates ou qui viennent de sources différentes.

Grâce à un kit de développement Microsoft, il est facile à manipuler. Notamment, vous pouvez extraire les données. De plus, vous pouvez modifier les informations d’un document Office sans utiliser l’application Office.

Par ailleurs, vous pouvez échangez plus simplement les données entre les applications Office et votre système d’informations.

Catégories
Prestations Audits Formations

Propriétés de classification FCI de Windows

Les propriétés de classification permettent de classer les documents dans Windows. En effet, Windows Server dispose nativement d’un ensemble de fonctionnalités regroupées sous l’intitulé Infrastructure de classification des fichiers Windows ou File Classification Infrastructure (FCI).

Propriétés de classification

L’infrastructure de classification des fichiers Windows fournit des outils intégrés pour aider les administrateurs à gérer plus efficacement les fichiers, en réduisant les coûts, et pour atténuer le risque documentaire.

Ce produit permet de définir des propriétés de classification, de classer automatiquement les fichiers selon leur contenu ou leur emplacement et de gérer leur expiration. La classification est faite selon la planification définie.

Propriétés de classification
Le type des propriétés de classification (ici: Multiple Choix List) défini le format de la donnée.

Les paramètres de classification peuvent utiliser des expressions régulières.

Une autre facette intéressante de l’infrastructure de classification des fichiers Windows est sa capacité à produire des rapports périodiques ou à la demande sur la volumétrie ou l’utilisation des fichiers.

Si vous connaissez déjà SharePoint, vous remarquerez une très grande similarité avec la mise en oeuvre des stratégies de gestion des informations et les rapports du plan de gestion de fichiers, qui permettent d’afficher un rapport sur le contenu et les stratégies d’une liste ou une bibliothèque.

Synergie Infrastructure de classification des fichiers Windows et SharePoint

Cette similitude permet de créer une synergie entre l’Infrastructure de classification des fichiers Windows et SharePoint.

En effet, SharePoint n’a pas vocation à stocker tous les fichiers. Certains fichiers métiers doivent rester sur un serveur de fichiers pour des raisons de performances ou de facilité de gestion. En termes de gestion documentaire, la valeur de SharePoint réside plus dans le classement et la recherche des documents.

Le service de Métadonnées gérées, les ensembles de documents et bien d’autres fonctionnalités de GED permettent d’accroître l’intérêt de SharePoint.

L’Infrastructure de classification des fichiers Windows peut aider au classement des documents dans SharePoint. Par exemple, il peut servir à alimenter les propriétés des documents Office. Ensuite les documents Offices viennent se télécharger dans SharePoint. En utilisant l’une des méthodes de classification disponibles, les fichiers peuvent avoir leurs métadonnées alimentées.

Ensuite, SharePoint stocke les métadonnées des documents Office sous forme de métadonnées SharePoint. Elles sont donc immédiatement disponibles. Vous pouvez donc les afficher dans une colonne. Vous pouvez aussi les utiliser pour une recherche dans SharePoint.

Catégories
Prestations Audits Formations

Classer automatiquement les documents avec l’organisateur de contenu SharePoint

L’organisateur de contenu est une fonctionnalité de SharePoint. Cette fonctionnalité permet de déplacer des fichiers dans un dossier, une bibliothèque, ou un site de type centre de documents.

Site Centre de documents

Un site de type Centre de documents dans SharePoint permet de centraliser le contenu d’une organisation afin de disposer d’un référentiel de documents. Les bibliothèques des centres de documents disposent par défaut des types de contenu Document et Lien vers un document.

Centre de documents
Centre de documents

Vous spécifiez des règles de sorte que lorsque les fichiers entrent dans la bibliothèque de remise, l’organisateur de contenu les applique. Ainsi, il déplace les fichiers à l’emplacement correct.

Fonctionnalité Organisateur de contenu

Un administrateur de site SharePoint peut créer des règles basées sur des métadonnées pour définir comment un document sera déplacé dans une bibliothèque. Vous devez activer la fonctionnalité Organisateur de contenu sur le site.

Organisateur de contenu
Organisateur de contenu

L’activation de l’organisateur rajoute d’office une nouvelle bibliothèque, intitulée Bibliothèque de remise (nom interne: DropOffLibrary).

Bibliothèque de remise
Bibliothèque de remise

Dans les paramètres du site, de nouveaux menus apparaissent sous Administration du site :

Paramètres de l'organisateur de contenu
Paramètres de l’organisateur de contenu

Paramètres de l’organisateur de contenu

La menu Paramètres de l’organisateur de contenu de SharePoint permet de configurer l’organisateur de contenu du site.

Le paramètre Rediriger les utilisateurs vers la bibliothèque de remise, redirige les utilisateurs vers la bibliothèque de remise lorsqu’ils veulent télécharger des documents dans une bibliothèque du site. Autrement dit, l’utilisateur ne peut pas télécharger directement un fichier dans cette bibliothèque.

Le paramètre Envoi vers un autre site permet de spécifier un autre site comme emplacement cible d’une règle. La fonctionnalité Organisateur de contenu doit être aussi active sur ce site. Ainsi, vous disposez d’un site unique pour gérer l’ensemble des règles. Sinon, vous devez avoir des règles sur chaque site concerné.

Autres paramètres de l’organisateur de contenu

La paramètre Partitionnement de dossier permet de créer automatiquement des sous-dossiers dès qu’un nombre de fichiers déposés dans un emplacement cible dépasse un nombre donné. La valeur par défaut est de 2500 mais elle est modifiable. En revanche, l’intitulé du dossier est fixe (en dehors de la date et l’heure de création du dossier). A cause de cette limitation, son utilisation perd un peu de son intérêt.

Le paramètre Soumissions en double permet de contrôler comment doit se comporter SharePoint en cas d’ajout d’un fichier portant le même nom dans un emplacement cible. Si le contrôle de version de la bibliothèque cible est actif, vous pouvez demander à ce que SharePoint l’utilise. Si le cas se présente, SharePoint créera une nouvelle version. Le résultat peut être assez hasardeux sauf s’il est possible de prédire avec certitude que les nouveaux fichiers qui viendront se déverser seront toujours plus récents que les fichiers déjà existants dans l’emplacement cible et qui possèdent le même nom. Généralement, je préfère activer l’autre option qui permet d’ajouter des caractères uniques à la fin des noms de fichiers en double.

Le paramètre Contexte de conservation permet de conserver les journaux d’audit associés aux documents et d’assurer une meilleure traçabilité en cas de contrôle.

Le paramètre Gestionnaires de règles indique qui sont les utilisateurs qui peuvent gérer les règles et réagir lorsque un document ne correspond à aucune règle.

Par défaut, le nombre de jours d’attente avant l’envoi d’un message électronique est de 3 mais il se modifie.

Le paramètre Points de soumission décrit les opérations supportées par le Web Service afin d’envoyer du contenu vers le site.

Règles de l’organisateur de contenu

Lors de l’ouverture des règles, SharePoint ouvre une bibliothèque intitulée Règles de l’organisateur de contenu (nom interne: RoutingRules). Si vous cliquez sur le lien Tout le contenu du site, vous ne verrez pas apparaître cette bibliothèque dans le navigateur web. En revanche, elle est visible si vous ouvrez le site avec SharePoint Designer.

Il ne faut pas confondre la bibliothèque Règles de l’organisateur de contenu qui stocke les règles avec la bibliothèque de remise qui stocke les documents sur lesquels les règles vont s’appliquer.

Les règles sont accessibles grâce au menu Actions du site > Paramètres du site > Règles de l’organisateur de contenu.

Règles de l'organisateur de contenu
Règles de l’organisateur de contenu

Si vous cliquez sur Ajouter un nouvel élément, vous pouvez créer une nouvelle règle.

Nouvelle règle de l’organisateur de contenu

Dans le paramètre Nom de la règle, vous pouvez indiquer dans le nom les conditions et les actions de la règle. Par exemple: Recherche et Développement si fichiers de type Recherche et Stochastique > 7.

Le paramètre État et priorité de la règle permet de fixer une priorité relative d’une règle par rapport aux autres règles. La priorité la plus forte est 1, tandis que la priorité la plus faible est 9. Par défaut, la valeur est sur la moyenne à 5. Si un envoi correspond à plusieurs règles, SharePoint appliquera celle dotée de la plus haute priorité.

Ce paramètre permet aussi de désactiver la règle. Cela permet par exemple de la suspendre temporairement afin de vérifier le bon fonctionnement des autres règles ou inversement.

Dans le paramètre Type de contenu de l’envoi, il faut d’abord choisir un type de contenu, en filtrant d’abord sur le groupe qui le contient puis ensuite en le sélectionnant. Par exemple, j’ai créé un type de contenu intitulé SOCT_BPM. Dans l’hypothèse (défavorable !) où ce type de contenu aurait un autre nom sur un autre site, vous pouvez l’indiquer.

Type de contenu de l'envoi
Type de contenu de l’envoi

Conditions

Le contenu des champs du paramètre Conditions dépend du type de contenu sélectionné au préalable. Les propriétés affichées dépendent donc du type de contenu.

Ensuite, vous devez choisir le type d’opérateur: “est égal à”, “n’est pas égal à”, “est supérieur à”, “est inférieur à”, “est supérieur ou égal à”, “est inférieur ou égal à”, “commence par”, “ne commence pas par”, “se termine par”, “ne se termine pas par”, “contient tou(te)s les”, “ne contient pas tou(te)s les”, “est vide”, “n’est pas vide”.

La liste des opérateurs dépend du type de la propriété. Pour une propriété de type nombre, la liste des opérateurs sera différente de celle d’une propriété de type choix.

Il reste à indiquer la valeur choisie pour définir la condition. La liste des opérateurs disponibles et la liste des valeurs dépendent directement du choix de la propriété.

Par exemple dans mon type de contenu SOCT_BPM, il existe une métadonnée nommée Comités, de type choix avec les valeurs: Recherche, Laboratoire, Marketing, Production et Administratif.

Conditions de l'organisateur de contenu
Conditions de l’organisateur de contenu

Il est possible d’ajouter plusieurs conditions. Il est aussi possible de supprimer toutes les conditions: la règle s’exécutera systématiquement. Dans ce cas, il faut veiller à la mettre en priorité faible, c-à-d un chiffre supérieur à 5 (cf. le paramètre État et priorité de la règle).

Le paramètre Emplacement cible indique où placer les fichiers concernés par cette règle. Si d’autres sites ont la fonctionnalité Organisateur de contenu activé, vous pouvez les sélectionner. Vous pouvez aussi obliger le regroupement des documents similaires.

Exemples de mise en oeuvre de l’Organisateur de contenu

Pour cet exemple, un site vide intitulé No man’s land a été créé et la fonctionnalité Organisateur de contenu est activée. Deux bibliothèques de documents SharePoint ont été rajoutées: Recherche et Développement et Laboratoire.

Par ailleurs, il a été créé un type de contenu nommé SOCT_BPM avec 2 colonnes supplémentaires: Comités (type Choix) et Stochastique (Type Nombre). Ce type de contenue est associé à toutes les bibliothèques.

L’objectif est de déplacer les documents en respectant des règles précises:

Un document qui est estampillé Laboratoire (métadonnée Comités) doit être stocké dans la bibliothèque Laboratoire.

Un document qui est estampillé Recherche et qui a une valeur de stochastique > 5 et <= 7 doit être stocké aussi dans la bibliothèque Laboratoire. Un document qui est estampillé Recherche et qui a une valeur de stochastique > 7 doit être stocké aussi dans la bibliothèque Recherche et Développement.

Compte-tenu de la dépendance des 2 dernières règles, la dernière règle doit avoir une priorité plus élevée que l’autre. Soit, dans la pratique :

Règles de l'organisateur de contenu
Règles de l’organisateur de contenu
Catégories
Prestations Audits Formations

Renommer automatiquement un fichier Word à l’aide de son contenu

Dans cet article, vous allez découvrir une technique simple pour renommer automatiquement un document Word à l’aide de son contenu. Vous pouvez utiliser cette technique pour créer aussi des métadonnées dans le document Word.

Un audit documentaire révèle de nombreuses surprises. En particulier, le nom des documents est parfois peu significatif.

Renommer automatiquement Word
Renommer automatiquement les documents Word

Si vous voulez démarrer la mise en place d’une GED (Gestion Electronique de Documents) dans de bonnes conditions, il est préférable que les documents existants soient corrigés avant d’être injectés dans la GED. Ou simplement, si vous souhaitez que le nom de vos fichiers reflète leur contenu.

Bien évidemment, il n’est pas question de reprendre manuellement les documents quand il y en a plusieurs milliers.

Renommer automatiquement Word (documents Word)

Pour répondre à une demande de ce type, j’ai développé un script qui procède à un renommage automatique des documents Word.

Le critère utilisé pour le renommage consiste à récupérer le contenu du premier paragraphe de style Titre, Titre 1 ou Titre 2. Bien évidemment, si le script ne trouve pas de style, il ne renomme pas le document.

La liste des styles est paramétrable : vous pouvez ajouter des styles supplémentaires, utilisés dans le corpus analysé.

Ayez du style !

Si le script trouve un des styles recherchés, par exemple Titre 1, alors le script renomme le fichier à partir du contenu du paragraphe Titre 1.

La propriété Word (métadonnée) Titre est remplacée par le contenu du paragraphe Titre 1.

Facultativement, vous pouvez remplacer des caractères du nom du fichier ou du titre par une autre chaîne. Cela permet d’éliminer des chaînes de caractères qui ne sont pas significatives. Cela permet aussi d’insérer des caractères afin de normaliser les noms de fichiers. Cette étape est complètement facultative.

Le script s’exécute sur des milliers de documents réels.

En moyenne, les documents ont une taille approximative de 250 Ko. Le plus gros document a une taille de 1,3 Mo.

Performances du script

Comme souvent avec les scripts qui s’exécutent sur un volume important, les temps de réponses ne sont pas linéaires. Ils sont excellents au début (20 documents / minute environ) puis ils deviennent un peu moins bon ensuite.

Pour renommer automatiquement Word, le scripts s’exécute sur des lots de 150 documents. Cette approche s’est révélée efficace et finalement très rapide. Car, avec un ordinateur de configuration bureautique standard, le traitement des 150 documents se fait en 20 minutes environ, soit 450 documents / heure.

Le taux des documents non-traités est de 2% environ. Il s’agit de documents qui ne possédaient aucun style de titre (plutôt rare), ou de documents qui possédaient un style de titre non recherché : par exemple, un Titre 3.

Rappel: une fois que les documents sont chargés dans SharePoint, vous pouvez créer des règles de routage pour déplacer ces fichiers de la bibliothèque de remise vers les bibliothèques finales.

Téléchargez le fichier zip suivant, qui contient le programme : RenommerFichiersWord_V1_0_0.zip

Catégories
Prestations Audits Formations

Plan de nommage des groupes SharePoint

Dans une organisation, la sécurité des informations stockées dans SharePoint est assurée uniquement à travers les groupes de sécurité SharePoint. Il est donc important de savoir comment nommer les groupes de sécurité SharePoint.

En effet, il est interdit de donner une autorisation en utilisant directement un groupe de l’annuaire central. Par contre, un groupe de l’annuaire central peut appartenir à un groupe de sécurité SharePoint.

L’objectif est donc de disposer d’un plan de nommage des groupes de sécurité qui soit :

  • structuré de manière identique quelque soit le groupe, l’objet à sécuriser ou l’autorisation,
  • adapté au modèle de sécurité SharePoint.

Nommer les groupes de sécurité SharePoint

Afin de normaliser la codification pour nommer les groupes de sécurité SharePoint, il est proposé le format suivant :

CODESITE _ AAAAAAAA

où :

  • CODESITE: Nom court du site des Directions / Départements / Services,
  • AAAAAAAA: Niveaux d’autorisations SharePoint accordées avec les libellés suivants: Contrôle total, Lecture, Collaboration, Conception, etc.

Pour des raisons de lisibilité et de compréhension, il a été préféré d’afficher directement le niveau d’autorisations (Contrôle total) plutôt que les noms classiques des groupes SharePoint: Approbateurs, Concepteurs, Gestionnaires de hiérarchies, Lecteurs de ressources de style, Membres, Propriétaires, Visiteurs.

Le nom court du site correspond à une nomenclature interne sur 3 ou 4 caractères. Par exemple, le site du Service de Support aux Fournisseurs étrangers de langue française a le code: SFEF, celui de la Direction des Ressources Humaines est: DRH.

Ceux qui donne les noms de groupes suivants pour le site de la Direction des Ressources Humaines:

  • DRH _ Collaboration
  • DRH _ Lecture
  • etc.

La présence de l’underscore (“_”) permettra de ne pas mélanger ces autorisations avec celles des niveaux inférieurs (cf. ci-dessous).

Adapté au modèle de sécurité SharePoint

Vue de l’utilisateur, les objets sécurisables dans SharePoint sont la Collection de sites, les sites, les listes (ou les bibliothèques), les dossiers des bibliothèques et les éléments (ou les documents).

Compte-tenu de l’héritage des autorisations, le besoin de disposer d’un groupe de sécurité au niveau d’un objet enfant (par exemple une bibliothèque d’un site) se justifie par la nécessité de personnaliser les autorisations.

Pour répondre à cette contrainte, il a été proposé que pour nommer les groupes de sécurité SharePoint, il soit tenu compte de l’objet et du nom interne de l’objet.

Liste ou bibliothèque

Le nom interne ne varie jamais, même en cas de renommage de la liste. Par ailleurs, il n’est pas possible d’avoir deux noms internes identiques dans un site.

Si vous désirez avoir une bibliothèque nommée Rapports d’activités, vous la créez avec le nom RAPACT puis ensuite vous la renommez en Rapports d’activités.

Le format de normalisation du nom des listes devient:

CODESITE CODELISTE _ _ AAAAAAAA

où :

  • CODELISTE: Nom interne de la liste.

CODESITE et AAAAAAAA sont inchangés par rapport à la codification du site.

La présence des underscores en double est obligatoire à cause des dossiers et des éléments (cf. ci-dessous).

Donc, s’il est nécessaire d’avoir des groupes spécifiques à la bibliothèque Rapports d’activités du site DRH, cela donnerait:

  • DRH RAPACT _ _ Collaboration
  • DRH RAPACT _ _ Lecture
  • etc.

Dossier

Il n’est pas facile d’interdire à un utilisateur de créer un dossier dans une bibliothèque SharePoint.

Vous savez bien qu’il ne suffit pas de cacher l’option Nouveau dossier.

En effet, par exemple, l’utilisateur peut contourner ce paramétrage grâce au lien Ouvrir avec l’Explorateur du ruban Bibliothèque ce qui lui permet de créer des dossiers.

Dans notre cas, les utilisateurs pouvaient créer eux-mêmes les dossiers grâce au navigateur. Il n’était donc pas possible d’imposer un nom unique pour tous les dossiers d’un site. Il est donc possible d’avoir deux bibliothèques distinctes avec chacune un dossier qui porte le même nom.

La solution a consisté à modifier la codification pour les dossiers, de la façon suivante afin de nommer les groupes de sécurité SharePoint dans ce cas :

CODESITE CODELISTE _ CODEDOS AAAAAAAA

où :

  • CODEDOS: Nom court du dossier.

La seule contrainte est d’être significatif, de ne pas dépasser 6 caractères et d’être unique.

Donc, s’il est nécessaire d’avoir des groupes spécifiques au dossier Audits internes de la bibliothèque Rapports d’activités du site DRH, cela donnerait par exemple:

  • DRH RAPACT _ AUDINT Lecture
  • DRH RAPACT _ AUDINT Collaboration
  • etc.

Élément ou Document

Pour des raisons liées au caractère sensible des données de l’organisation (Laboratoire pharmaceutique) et pour des raisons historiques (ancien système basé sur Lotus Domino), les autorisations sont fréquemment données au niveau du document.

Pour s’adapter à cette contrainte forte et pour nommer les groupes de sécurité SharePoint, la codification est la suivante :

CODESITE CODELISTE CODEDOC AAAAAAAA

où :

  • CODEDOC: Nom court du document ou de l’élément.

Notamment, le nom court du document est généré comme un nom court de fichiers (nommage 8dot3).

Dans une invite de commande, les noms courts sont visibles grâce à l’instruction DIR /X.

Si le document qui s’intitule Produit XYZ.docx a comme nom court PRODUI~1.DOC (par exemple).

Donc, s’il est nécessaire d’avoir des groupes spécifiques à ce document, cela donne:

  • DRH RAPACT PRODUI~1.DOC Lecture
  • DRH RAPACT PRODUI~1.DOC Collaboration
  • etc.

En images

Nommer les groupes de sécurité SharePoint
Plan de nommage des groupes de sécurité SharePoint
Catégories
Prestations Audits Formations

Désinfecter un ordinateur des virus

Dans cet article, vous allez voir des manipulations pratiques pour désinfecter un ordinateur des virus et des malwares. Vous trouverez aussi les liens pour télécharger les antivirus et antimalwares.

désinfecter un ordinateur des virus et des malwares
(image: Bartek Ambrozik)

Aujourd’hui les virus ou les malwares sont silencieux et discrets. Leurs objectifs est de rester le plus longtemps possible sur votre PC afin d’exploiter vos informations. Le but des virus / malwares est de tirer profit de tout: comptes bancaires, comptes de jeu, numéro de cartes bancaires, informations personnelles (nom, date de naissance, adresse, etc.) et vol d’identité.

L’objectif des virus et malwares

Tout ça se vend et rapporte de l’argent. Vous trouverez ci-dessous une procédure simplifiée pour désinfecter votre pc ou pour vous assurer de l’absence de malwares. Malgré la présence d’un antivirus à jour, un logiciel malveillant peut s’installer sur votre ordinateur.

Tout d’abord, prévoyez une bonne connexion à internet et du temps. Les opérations sont séquentielles et elles sont longues. Ne faites pas l’économie d’une étape, d’autant que cette procédure est déjà raccourcie. La procédure complète comprend d’autres étapes, un peu plus complexe techniquement. Elle est utilisée en cas d’infections avérées, graves ou lourdes.

Je vous conseille de faire d’abord tous les téléchargements avant de commencer. L’idéal est de les faire sur une clef USB mais ce n’est pas indispensable pour cette procédure.

Ultime précision: Même si c’est hautement souhaitable, vous n’êtes pas obligé de tout faire. Plus vous avancerez dans les étapes, plus vous réduirez les risques.

Procédure pour désinfecter un ordinateur des virus et des malwares

Débranchez l’ordinateur infecté du réseau, wifi, etc.

Téléchargez, installez et exécutez la dernière version gratuite de CCleaner: http://www.piriform.com/ccleaner/download/standard

Cochez toutes les cases, sauf Nettoyer l’espace libre de l’onglet Windows, pour nettoyer tous les fichiers non-indispensables; cela vous fera gagner un temps précieux lors des analyses suivantes.

Téléchargez, installez et exécutez la dernière version gratuite de Malwarebytes : http://fr.malwarebytes.org/mwb-download

Lors de l’installation, désactivez la case à cocher ‘Activer l’essai gratuit de Malwarebytes Anti-Malware PRO’ (sur le bouton Terminer).

Téléchargez, installez et exécutez la dernière version de Microsoft Safety Scanner: http://www.microsoft.com/security/scanner/fr-fr/default.aspx

Il est impératif de solliciter plusieurs antivirus

Pour désinfecter un ordinateur des virus et des malwares, il faut exécuter plusieurs antivirus car aucun n’est parfait.

Aussi, téléchargez, installez et exécutez la dernière version gratuite d’un autre antivirus (au choix).

Lors de l’exécution de l’anti-virus de votre choix, demandez à faire un examen complet. Il faut parfois chercher dans les options.

En cas de virus / malwares, privilégiez l’option de mise en quarantaine (ou la correction automatique lorsqu’elle est proposée).

Je ne vous conseille pas la suppression. En effet, dans certains cas cela peut conduire au blocage (freeze) du système d’exploitation.

Mode sans échec

Parfois pour désinfecter un ordinateur des virus et des malwares, vous devez basculer en mode sans échec.

Le basculement en mode sans échec (safe boot) est expliqué dans la procédure complète pour supprimer les virus / malwares.

Autres antivirus à appliquer

L’objectif est d’être réellement efficace pour désinfecter un ordinateur des virus et des malwares. Aussi, vous devez installer des antivirus supplémentaires jusqu’à l’éradication complète du virus ou du malware.

AVAST: http://www.avast.com/index

Sur l’écran d’installation, décochez Yes, install the free Google Toolbar along with avast! et choisissez Custom installation.

Choisissez aussi Scan puis Scan minutieux et cliquez sur Démarrer.

AVG: http://free.avg.com/fr-fr/homepage

Sur l’écran d’installation, choisissez Installation personnalisée (avancé) et décochez toutes les cases en-dessous.

Décochez aussi les add-ons (Free Smileys, etc.).

Lorsque la question sera posée, choisissez Anti-virus Free (et non Internet Security Version d’évaluation).

Choisissez l’installation personnalisée: décochez Utiliser AVG Nation toolbar.

Ad-Aware de Lavasoft: http://www.fr.lavasoft.com/products/ad_aware.php.

Glary Utilities: http://www.glarysoft.com/.

Encore un petit effort

En effet, certains antivirus sont efficaces sur certaines souches de virus, tandis que d’autres sont efficaces sur d’autres souches. Aussi, pour désinfecter un ordinateur des virus et des malwares, efficacement il faut poursuivre en variant les outils.

Aussi, téléchargez, installez et exécutez la dernière version gratuite de Vipre Rescue: http://www.vipreantivirus.com/live/

Puis, téléchargez, installez et exécutez la dernière version gratuite de Spybot – Search & Destroy: http://www.safer-networking.org/dl/

Dans la liste des miroirs, choisissez un des miroirs: Ad-free download at Safer-Networking Ltd

Ensuite, téléchargez, installez et exécutez la dernière version gratuite de SUPERAntiSpyware: http://superantispyware.com/

Puis, faites un scan en ligne avec ESET Online Scanner: http://www.eset.com/us/online-scanner

Enfin, si vous avez un doute sur un fichier, contrôlez-le avec VirusTotal: https://www.virustotal.com/

En particulier, les pièces jointes des emails. Même si vous ne pouvez pas compter sur les seuls résultats de VirusTotal, cela permet d’avoir un filtre supplémentaire.

Par ailleurs, activez Windows Update et lancez toutes les mises à jour rapides ou de sécurité.

Ensuite, vous devez recommencer tant qu’il n’y a plus de mises à jour rapides ou de sécurité à faire.

Nettoyage

Ensuite, désinstallez tous les antivirus sauf celui de votre choix

En effet, l’exécution simultanée de plusieurs anti-virus dégrade les performances de votre ordinateur. Les anti-virus s’analysent mutuellement et cette activité ralentit l’ordinateur.

Il suffit de garder un des antivirus gratuit et de désinstaller tous les autres.

Après avoir désinfecter un ordinateur des virus et des malwares

Pour résoudre des cas précis, allez sur le site http://www.bleepingcomputer.com/virus-removal/ qui regorge d’autres conseils précis.

En l’absence de problèmes particuliers, cette procédure peut être exécutée entièrement sur une base régulière: 1 fois / an au moins.

Si vous pensez que votre PC est infecté, appliquez la procédure complète décrite dans l’article Comment désinfecter un pc windows des virus et des malwares : procédure complète.

Catégories
Prestations Audits Formations

Donner des autorisations dans SharePoint

Les autorisations SharePoint sont un sujet vaste, où il est aisé de s’y perdre. En plus des aspects sécuritaires, l’enjeu de la sécurité des accès dans SharePoint est son administrabilité à long terme.

En effet, mettre en place des droits et des permissions dans SharePoint est simple et même rapide. Notamment, la difficulté vient avec le temps : évolution des sites (contenu, structure), mutation du personnel, changement de fonctions, etc.

Cette difficulté s’accroît aussi avec, globalement, la taille de l’entreprise et le nombre de documents à gérer, la dispersion géographique du personnel, le nombre d’utilisateurs, les fonctionnalités activées et l’usage.

Autorisations SharePoint
Héritage des autorisations SharePoint rompu

Il n’est pas rare qu’un audit de sécurité révèle des brèches importantes. Celles-ci sont souvent dues à une méconnaissance du fonctionnement des mécanismes de sécurité dans SharePoint et notamment du fonctionnement des autorisations SharePoint.

Administrateurs de la ferme

Lors de l’installation, SharePoint Server crée au niveau de l’administration centrale le groupe SharePoint Administrateurs de la batterie (“Farm Administrators”).

Ce groupe a un contrôle total sur les serveurs de la ferme. Il sert à l’administration technique de SharePoint : Gérer les serveurs, Gérer les services, Gérer les fonctionnalités des batteries de serveurs, Gérer les applications Web, Créer des collections de sites, Gérer les applications de service, Gérer les bases de données de contenu, Sauvegarder / restaurer, Analyser le fonctionnement, etc.

Par défaut, les membres de ce groupe n’ont pas accès aux collections de sites. Autrement dit, un administrateur de la ferme peut créer une collection de sites mais il ne peut pas la gérer, à moins qu’il se soit désigné comme administrateur de la collection de sites.

Microsoft a donc bien distingué l’administration technique de l’administration fonctionnelle.

Impacts sur l’administrateur de la collection de sites

Même si l’administrateur de la ferme n’est pas administrateur de la collection de sites, il peut décider des niveaux d’autorisations administrables par l’administrateur de la collection de sites. En particulier, l’administrateur de la ferme peut restreindre la liste des autorisations SharePoint de l’application web qui porte les collections de sites.

Ainsi, seuls un nombre restreint d’autorisations seront accordés aux utilisateurs des collections de site de l’application web. Comme ces restrictions s’appliquent aussi aux administrateurs de la collection de sites, il est plus efficace que le compte d’administration de la ferme soit différent du compte d’administration de la collection de site.

Par exemple, l’administrateur de la ferme peut désactiver l’autorisation de supprimer des éléments. Dans ce cas, l’administrateur de la collection de sites et les utilisateurs ne pourront plus supprimer un élément d’une liste ou d’une bibliothèque. En revanche, ils pourront toujours à ajouter ou modifier les éléments sous réserve de disposer des droits ad’hoc.

En fonction de la zone de provenance d’un utilisateur (“intranet”, “internet”, etc.), l’administrateur de la ferme peut lui attribuer des autorisations différentes grâce à une stratégie de sécurité sur l’application web. La stratégie de sécurité concerne les demandes effectuées à travers la zone spécifiée.

Par exemple, si Alice se connecte en interne (zone “par défaut”), elle dispose d’un accès de collaborateur. Par contre, si elle se connecte via Internet, elle ne dispose plus que d’un accès en lecture seule.

Les permissions issues d’une stratégie de sécurité l’emportent toujours sur les autres autorisations SharePoint.

Administrateurs de la collection de sites

Lors de la création d’une collection de site, l’administrateur de la ferme doit obligatoirement désigner au moins un administrateur de la collection.

Bien qu’au moment de créer une collection de sites, l’interface de l’Administration centrale de SharePoint ne propose la saisie que de deux administrateurs de la collection (“principal”, “secondaire”), il sera possible par la suite d’en rajouter d’autres.

De plus, il n’existe pas de différences entre un administrateur Principal et Secondaire. Il s’agit d’une simple aide pédagogique.

L’administrateur d’une collection de sites dispose du contrôle total sur tous les sites web de la collection de sites. L’inverse n’est pas vrai, si vous disposez du contrôle total “uniquement”, cela ne fait pas de vous un administrateur de la collection de sites.

Limitations des droits

Dans ce cas, vous ne pourrez pas :

  • modifier les administrateurs de la collection de site,
  • avoir accès aux paramètres de la collection de sites: Paramètres de recherche, Étendues de recherche, Mots clés de recherche, Mots clés FAST Search, Promotion et rétrogradation du site FAST Search, Contexte utilisateur FAST Search, Corbeille, Fonctionnalités de la collection de sites, Hiérarchie des sites, Navigation dans la collection de sites, Paramètres d’audit des collections de sites, Rapports du journal d’audit, Connexion au site portail, Stratégies de collections de sites, Profils de cache de la collection de sites, Cache d’objets de la collection de sites, Cache de sortie de la collection de sites, Publication de type de contenu, Variantes, Étiquettes de variante, Colonnes à traduire, Journaux de variante, Emplacements de navigateur de contenu suggérés, Paramètres de SharePoint Designer, Mise à niveau visuelle, Paramètres de l’aide,
  • avoir accès à certains paramètres de site: Flux de travail, Paramètres d’étendue des liens connexes, Contenu et structure, Journaux Contenu et structure.

L’administrateur de la collection de sites gère aussi les demandes d’accès à la collection de sites.

Autorisations SharePoint

En matière d’autorisations SharePoint, il existe deux notions qu’il ne faut pas confondre:

  • Les autorisations
  • Les niveaux d’autorisations

Une autorisation est la particule la plus élémentaire en matière de droits.

Exemples d’autorisations de site : Gérer les autorisations, Créer des sous-sites, Ajouter et personnaliser des pages, Appliquer des thèmes, Appliquer des feuilles de styles, Gérer les alertes, Utiliser les interfaces WebDav, Etc.

Exemples d’autorisations pour une liste : Gérer les listes, Remplacer l’extraction, Ajouter des éléments, Modifier des éléments, Supprimer des éléments, Afficher des éléments, Approuver des éléments, Ouvrir des éléments, Afficher les versions, Supprimer les versions, Créer des alertes, Etc.

Toutefois, et malgré ce que l’interface graphique présente, vous n’attribuez pas directement les autorisations SharePoint. En effet, dans SharePoint, vous accordez les autorisations à travers les niveaux d’autorisation.

Niveaux d’autorisations

Un niveau d’autorisation est une combinaison d’autorisations SharePoint.

Vous trouverez ci-dessous les niveaux d’autorisation fournis par défaut, avec une illustration de qu’il est possible de faire:

  • Contrôle total : gérer les droits,
  • Conception : modifier les pages,
  • Collaboration : déposer un document dans une bibliothèque,
  • Lecture : lire un document sans pouvoir l’enregistrer dans la bibliothèque d’origine,
  • Vue seule : afficher la liste des documents sans pouvoir les lire.

Dans le détail, un niveau d’autorisation donné correspond à une liste précise d’autorisations accordées. Par exemple, il existe un niveau d’autorisation par défaut intitulé Lecture. Pour une liste, il correspond aux autorisations : afficher les éléments, ouvrir les éléments, afficher les versions, créer des alertes et afficher les pages des applications. Le niveau d’autorisation Vue seule a les mêmes autorisations que Lecture sauf ouvrir les éléments.

Vous pouvez personnaliser les niveaux d’autorisation par défaut. Vous pouvez modifier les autorisations rattachées au niveau ou créer des niveaux supplémentaires.

Bonnes pratiques

En termes de bonnes pratiques, je vous recommande vivement de ne pas modifier les autorisations accordées aux niveaux d’autorisation par défaut. Si besoin est, créez vos propres niveaux d’autorisations. Ce cas de figure se présente dans les organisations importantes.

Un niveau d’autorisation peut être accordé à un compte utilisateur. Ce n’est pas recommandé. Il est préférable de rattacher cet utilisateur à un groupe puis d’accorder un niveau d’autorisation au groupe.

Reconnaissez que vous accordez un droit à une fonction ou un rôle de l’utilisateur dans l’organisation, et non à un utilisateur qui changera de fonction, un jour ou l’autre.

La question qui va surgir concerne l’utilisation de groupes SharePoint ou ceux de l’annuaire, comme Active Directory. Avant de donner des éléments de réponse à cette question épineuse, examinons le fonctionnement des groupes dans SharePoint.

Groupes SharePoint

Une collection de site SharePoint comprend au moins 4 groupes par défaut (entre crochets figure le niveau d’autorisations accordé):

  • Propriétaires [Contrôle total]
  • Membres [Collaboration]
  • Visiteurs [Lecture]
  • Visualiseurs [Vue seule]

Selon les fonctionnalités activées sur votre collection de site, vous pouvez obtenir d’autres groupes: Approbateurs, Concepteurs, etc.

Lorsqu’un nouvel utilisateur est ajouté à un groupe, il hérite automatiquement des autorisations accordées au groupe.

Tous ces groupes se personnalisent. Vous pouvez modifier les niveaux d’autorisation attachés aux groupes par défaut ou créer des groupes supplémentaires.

Les groupes SharePoint ont une particularité un peu perturbante au départ. Lorsque vous créez un groupe, il est disponible pour tous les sites de la collection de sites, quel que soit l’endroit à partir duquel vous le créez. Même si vous créez le groupe dans un site adjacent ou dans une sous-arborescence, il est visible par tous les sites. Même si dans le site où vous créez le groupe, l’héritage est rompu.

Une fois que ce comportement est assimilé, il reste à définir les critères qui président au choix d’un groupe SharePoint ou d’un groupe Active Directory (AD).

Liens entre l’AD et les groupes SharePoint

Souvent les administrateurs de l’AD ne veulent pas que les applications viennent “polluer” l’AD. Autrement dit, ils ne veulent pas créer de groupes spécifiques dans l’AD pour SharePoint.  Dans certaines organisations, la situation est bloquée et les utilisateurs n’ont pas d’autres choix que d’utiliser des groupes SharePoint.

Pourtant la gestion des droits à l’aide de groupes AD présente un intérêt certain et à ma préférence.

Le rôle de l’AD est de définir un référentiel unique et commun des identités de l’entreprise. Hors, l’utilisation des groupes SharePoint entraine une surcharge administrative supplémentaire qui est parfois importante. Notamment, si cette administration est déléguée aux utilisateurs. Dans ce cas, non seulement il n’y a pas d’automatismes, mais les risques liées à la sécurité d’accès sont élevés car il n’y a pas de contrôles à posteriori.

En outre, si vous utilisez des groupes AD, vous pourrez nativement utiliser l’outil de requête de l’AD qui permet de faire des recherches personnalisées avec la norme Lightweight Directory Access Protocol (LDAP). De plus, ces recherches sont facilitées grâce à l’assistant intégré.

Toutes ces raisons militent pour privilégier l’utilisation des groupes de l’AD.

Sécurité des rôles

La sécurité dans SharePoint n’est pas monolithique. Au contraire, vous accordez un droit (un niveau d’autorisations) à un utilisateur (à travers un groupe) sur un objet.

Les objets sécurisables sont:

  • Site,
  • Liste ou bibliothèque,
  • Dossier d’une bibliothèque
  • Elément d’une liste ou document d’une bibliothèque.

Autrement dit, un utilisateur peut avoir des droits différents sur un même site.

Par exemple, Alice peut avoir le droit d’accéder en lecture à un site. Sur le même site, elle pourra accéder en mise à jour sur la bibliothèque ‘Documents partagés’. Notez que c’est possible malgré le fait qu’un droit de mise à jour est “plus important” qu’un droit de lecture.

C’est ce qu’on appelle la sécurité des rôles. SharePoint utilise la sécurité des rôles pour vérifier la permission d’un groupe ou d’un utilisateur par rapport à un objet.

La liste des objets sécurisables est limitée.

En particulier, il n’est pas possible actuellement de donner des droits différents sur une partie d’une page SharePoint, ni même sur un composant de WebPart.

Les audiences seront traitées dans un autre article mais, en aucun cas, ils ne sont un élément pour gérer les droits.

Héritage

Par défaut, un nouveau site dans une collection de site hérite des autorisations du site parent. Un sous-site d’un site hérite donc des droits du site parent.

Les objets héritent aussi par défaut des sécurités de l’objet parent. Par exemple, une liste par rapport à son site.

Tant que l’héritage n’est pas rompu, il maintient un lien dynamique avec les droits du parent direct. Si l’héritage est cassé, les droits du parent sont recopiés sur l’enfant sans lien dynamique. Les droits de l’enfant deviennent alors modifiables.

Cela peut être aussi une source de confusion au début. Si vous n’y prenez pas garde, vous risquez de modifier les droits du parent. En effet, avant de modifier les droits d’un enfant, il faut casser l’héritage. Si vous oubliez de rompre cet héritage, vous modifierez les droits du parent.

La bonne nouvelle c’est qu’un héritage rompu peut être rétabli à chaque instant. Dans ce cas, tous les droits modifiés de l’enfant sont perdus.

Autorisations des listes ou des bibliothèques

Tout comme les droits sur les sites, vous avez la possibilité de restreindre l’accès à des listes ou des bibliothèques.

Pour la gestion des droits d’une liste, affichez les paramètres de celle-ci. Dans les paramètres, cliquez sur « Autorisations pour le composant : liste ».

Pour la gestion des droits d’une bibliothèque, affichez les paramètres de celle-ci. Dans les paramètres, cliquez sur « Autorisations pour le composant : bibliothèque de documents ».

Si vous voulez aller plus loin, dans une bibliothèque ou une liste, vous avez la possibilité de donner des droits différents à des objets qui en font partie. Par exemple, donner des droits à un fichier Word d’une bibliothèque de documents.

Droits sur les documents

Pour donner des autorisations SharePoint sur n’importe quel document, afficher le contenu de la liste ou de la bibliothèque et cliquez sur le menu d’édition du document pour en afficher le menu contextuel.

Bonnes pratiques de sécurité

Dans la pratique, l’expérience m’a montré que la gestion des autorisations SharePoint est structurante sur le design des sites.

Ce qui signifie que vous devez tenir compte du modèle de droits SharePoint pour votre conception: si, par exemple, vous aviez prévu de donner des droits différents au milieu d’une page.

Par ailleurs, en termes de méthode, il n’est évidemment pas possible de donner un algorithme systématique pour réussir la mise en oeuvre de la sécurité des accès dans SharePoint.

D’autant que la sécurité des accès n’est qu’une partie de la sécurité globale :

Enfin, vous trouverez ci-dessous quelques pistes pour mieux gérer les autorisations SharePoint.

Autres bonnes pratiques de sécurité

Pour chaque site: 1) Listez les futurs utilisateurs par fonction dans chaque service ; 2) Distinguez les utilisateurs selon leurs droits : auteurs, lecteurs, autres.

Pour ‘Mon Site’: Utilisez des groupes de sécurité pour gérer les autorisations SharePoint des sites Mon site.

Niveaux d’autorisations: 1) Créez des niveaux supplémentaires afin de tenir compte des dérogations ; 2) Puis, définissez un niveau d’autorisation par combinaison des autorisations.

Ciblage d’audiences: 1) L’audience n’est pas un droit ; 2) Notamment, utilisez les audiences pour masquer un objet (WebPart, etc.).

Utilisateurs: 1) Ne donnez pas des droits à un utilisateur ; 2) Ensuite, donnez un droit à un groupe de l’AD ou à un groupe SharePoint.

Groupes: 1) Créez des groupes pour factoriser les droits ; 2) Puis, assignez un niveau d’autorisation aux groupes ; 3) Ensuite, attachez le groupe SharePoint à un des quatre objets à sécuriser: Site, Liste / Bibliothèque, Dossier, Elément / Document

Pour aller plus loin

Les informations ci-dessous sont issues de la documentation Microsoft.

Autorisations SharePoint des listes ou bibliothèques

  • Gérer les listes permet de créer et supprimer des listes, ajouter des colonnes à une liste ou en supprimer, et ajouter des affichages publics à une liste ou en supprimer.
  • Remplacer l’extraction permet d’ignorer ou d’archiver un document qui est extrait pour un autre utilisateur.
  • Ajouter des éléments des éléments à des listes, et des documents à des bibliothèques de documents.
  • Modifier des éléments dans des listes, des documents dans des bibliothèques de documents, et personnaliser des pages de composants WebPart dans des bibliothèques de documents.
  • Supprimer des éléments d’une liste, et des documents d’une bibliothèque de documents.
  • Afficher les éléments dans des listes et des documents dans des bibliothèques de documents.
  • Approuver des éléments d’une version secondaire d’un élément de liste ou d’un document.
  • Ouvrir les éléments permet d’afficher la source des documents avec des gestionnaires de fichiers côté serveur.
  • Afficher les versions antérieures d’un élément de liste ou d’un document.
  • Supprimer les versions antérieures d’un élément de liste ou d’un document.
  • Créer des alertes.
  • Afficher les pages des applications permet d’afficher les formulaires, les affichages et les pages des applications.

Autorisations SharePoint des sites

  • Gérer les autorisations permet de créer et modifier des niveaux d’autorisation sur le site, et affecter des autorisations à des utilisateurs et à des groupes.
  • Afficher les données Web Analytics permet d’afficher les rapports sur l’utilisation du site.
  • Créer des sous-sites tels que des sites d’équipes, des sites Espace de travail de réunion et Espace de travail de document.
  • Gérer le site Web permet de donner la capacité d’effectuer toutes les tâches d’administration sur un site et de gérer le contenu.
  • Ajouter et personnaliser des pages permet d’ajouter, modifier ou supprimer des pages HTML ou de composants WebPart.
  • Appliquer des thèmes et des bordures à l’ensemble du site.
  • Appliquer des feuilles de style (fichier .CSS) au site.
  • Créer des groupes d’utilisateurs pouvant être utilisés partout dans la collection de sites.
  • Parcourir les répertoires permet d’énumérer les fichiers et les dossiers d’un site Web à l’aide des interfaces SharePoint Designer et Web DAV.
  • Utiliser la création de sites libre-service permet de créer un site à l’aide de la fonctionnalité de création de sites libre-service.
  • Afficher les pages d’un site.
  • Énumérer les autorisations pour un site : liste, dossier, élément.
  • Parcourir les informations utilisateur permet d’afficher les informations sur les utilisateurs du site.
  • Gérer les alertes pour tous les utilisateurs d’un site.
  • Utiliser les interfaces distantes permet d’utiliser l’interface SOAP, Web DAV, SharePoint Designer ou du modèle objet client pour accéder au site.
  • Utiliser les fonctionnalités d’intégration des clients permet de lancer des applications clientes. Sans ce droit, l’utilisateur doit utiliser les documents en local et télécharger ses modifications.
  • Ouvrir autorise les utilisateurs à ouvrir un site, une liste ou un dossier pour accéder aux éléments de ce conteneur.
  • Modifier les informations personnelles de l’utilisateur autorise un utilisateur à modifier ses informations d’utilisateur, notamment ajouter une photo.

Autorisations SharePoint personnelles

  • Gérer les affichages personnels permet de créer, modifier et supprimer des affichages personnels de listes.
  • Ajouter/Supprimer des composants WebPart personnels sur une page de composants WebPart.
  • Mettre à jour des composants WebPart personnels pour qu’ils affichent des informations personnalisées.
Catégories
Prestations Audits Formations

Outils de supervision Windows

Plusieurs phénomènes expliquent l’engouement actuel pour les Outils de supervision Windows comme System Center. En effet, la baisse drastique du prix du matériel informatique a remis d’actualité l’achat de postes de travail au détriment des terminaux passifs.

Les terminaux passifs utilisés pour les sessions virtuelles avec Terminal Server, Citrix, etc. correspondent à une architecture centralisée. L’utilisation de PC entraîne des besoins de supervision centralisée d’une architecture décentralisée. Notamment le besoin d’outils de supervision Windows est de plus en plus fort.

Par ailleurs, les responsables informatique veulent avoir une vue orientée services, et non “machines”. Ils veulent donc surveiller les événements, les alertes, la disponibilité et les performances des services. En cas d’anomalie ou d’alertes, il faut pouvoir exécuter simplement des tâches (relancer un service, par exemple).

Outils de supervision Windows
(image : Svilen Milev)

Ce besoin de qualité de services requiert une simplicité maximum. L’objectif étant d’automatiser efficacement la supervision grâce à aux Outils de supervision Windows.

SCOM: Une véritable valeur ajoutée

Avec System Center Operations Manager R2 (SCOM), ou System Center Essentials (SCE), Microsoft apporte plus qu’un produit ou qu’une technologie. Concrètement, il donne son savoir-faire à travers les “managements packs”.

Plutôt que de paramétrer soi-même les produits, avec des tâtonnements qui peuvent se révéler coûteux, vous télécharger gratuitement un “pack d’administration dédié” pour administrer vos Contrôleurs de Domaine, ou vos serveurs SQL Server ou Exchange Server, etc.

Autrement dit, vous avez à disposition le savoir-faire de Microsoft en matière de supervision de services, de serveurs et de postes de travail.

System Center Operations Manager R2 s’intégre dans les environnements IBM tivoli et HP OpenView. Il prend aussi en charge les systèmes UNIX et Linux.

System Center Essentials est un produit hybride qui répond aussi bien aux besoins d’inventaires et de télédistribution comme peut l’être System Center Configuration Manager.

Le rôle de System Center Essential est l’administration du parc de serveurs et postes de travail : inventaire matériel et logiciel, gestion des mises à jour, déploiement d’applications.

Il est destiné aux PME.

Inventaire et télédistribution avec SCCM

De nombreuses sociétés se sont lancées dans la création de leur outils “maison” pour assurer la télédistribution de logiciels. En effet, l’offre de l’époque de Microsoft a mis longtemps à évoluer de Systems Management Server (SMS 2.0) vers Systems Management Server 2003 (SMS 2003) puis System Center Configuration Manager (SCCM).

L’apparition de System Center Configuration Manager R2 a remis en cause les solutions “maison”. Sans vouloir être dithyrambique, il faut reconnaître que le produit a bien évolué.

Gérant les postes mobiles ou distants, la conformité des configurations, le déploiement des applications et des systèmes d’exploitation, Office, Vista, Windows Server 2008, les serveurs et les périphériques, System Center Configuration Manager R2 est une réelle avancée pour optimiser et simplifier la gestion opérationnelle de ces environnements.

La version R2 prend en charge la virtualisation d’application, l’intégration des services de reporting SQL et l’intégration avec Forefront Client Security.

Autres outils de supervision Windows comme SCDPM

System Center Data Protection Manager (SCDPM) permet la protection en mode quasi-continu des applications Microsoft. Vous l’utilisez avec Office, SharePoint, Exchange, SQL server et des environnements virtuels.

Les nouveautés de DPM SP1 concerne le support de SQL server 2008 et la protection des environnements Hyper-V.

Pour gérer les environnements de virtualisation, il existe aussi des solutions dédiées comme le System Center Virtual Machine Manager (SCVMM).

L’indispensable couteau-suisse : SCCP

La robustesse d’un système repose aussi sur la capacité de l’administrateur à planifier correctement les déploiements..

Notamment, Microsoft System Center Capacity Planner (SCCP) permet de dimensionner et de planifier des déploiements de Microsoft Exchange, Microsoft System Center Operations Manager, Microsoft SharePoint Server.

Cet outil gratuit permet de bâtir des scénarios pour simuler un déploiement. Par exemple, quelles seraient les conséquences sur l’architecture du système d’information en changeant tel paramètre : nombre d’utilisateurs, profils des utilisateurs, etc.

Suite à parcourir

Enfin, lisez aussi l’article sur les outils de sécurité Microsoft.

Catégories
Prestations Audits Formations

Outils de sécurité Microsoft

Dans cet article vous allez découvrir les outils de sécurité Microsoft indispensables à votre sécurité informatique. Vous disposez probablement de certains d’entre-eux. Pensez aussi à télécharger et installer pour votre version Windows les outils suivants.

Découvrez les outils de sécurité Microsoft
Découvrez les outils de sécurité Microsoft

Les outils de sécurité Microsoft

Bien évidemment, les outils de sécurité Microsoft sont utiles et nécessaires. Toutefois, vous pouvez aussi comprendre le monde de la cybersécurité et des attaques. Pour cela, lisez ou parcourez le rapport Global Security Intelligence Report de Microsoft. Prenez la version anglaise, la version française n’est qu’un résumé.

Office 365 – Advanced Email Threat Protection protège les réseaux des entreprises. En effet, il protège des dizaines de milliers de clients de l’entreprise à travers le monde. Notamment, il aide à empêcher les logiciels malveillants de se propager par courriel.

Découvrez comment vous pouvez bénéficier d’une protection de vos informations avec Microsoft Security.  Une stratégie de cybersécurité complète et évolutive est proposée pour votre entreprise.

Microsoft Safety Scanner est un outil de sécurité gratuit. Il fournit une analyse sur demande et aide à supprimer les logiciels malveillants. il ne remplace pas un antivirus à jour. En effet, il n’offre pas de protection en temps réel. Autrement dit, il ne peut pas empêcher un ordinateur de devenir infecté. Par contre, il peut le désinfecter.

Microsoft Security Essentials est un produit de protection en temps réel gratuit. Cet outil combine un antivirus et un scanner antispyware avec anti-phishing et la protection d’un pare-feu .

Le règlement général de la Protection des données (RGPD) s’applique à partir de début mai 2018. Votre entreprise est-elle prête pour appliquer les mesures nécessaires à la protection des données ?

Outlook.com permet de disposer d’une boîte aux lettres gratuite. Cette boîte aux lettres dispose de fonctionnalités anti-phishing et aniti-spam.

SmartScreen Filter, une fonctionnalité d’Internet Explorer, à partir de la version 8. Elle offre aux utilisateurs une protection contre les sites de phishing et les sites qui hébergent des logiciels malveillants.

Windows Defender dans Windows fournit une analyse en temps réel de Windows. S’il détecte un logiciel malveillant, il cherche à le supprimer.

Un outil qui fonctionne en mode offline

Windows Defender Offline est un outil téléchargeable. Vous pouvez l’utiliser pour créer un CD bootable, un DVD ou un lecteur flash USB bootable. Ensuite, il servira à analyser un ordinateur des menaces de codes malveillants sans que l’ordinateur s’exécute.

Toutefois, il n’offre pas de protection en temps réel car ce n’est pas son rôle. Son but est de désinfecter l’ordinateur.

Suite à parcourir

Pour compléter ce panorama d’outils de sécurité Microsoft, lisez l’article technique sur Microsoft Attack Surface Analyzer.

Enfin, pour assurer une surveillance accrue de l’environnement Microsoft, sachez manipuler les outils de supervision Windows.

Catégories
Prestations Audits Formations

Performances des disques SSD

Après quelques mois d’utilisation, le disque SSD interne SATA de 2.5 pouces se révèle précieux pour 3 raisons principales.

La légèreté du disque SSD interne SATA est facilement perceptible. Surtout, si vous comparez avec un disque dur classique de taille et de capacité équivalentes.

Un autre avantage du disque SSD interne SATA concerne sa robustesse car ce modèle résiste au test de chute d’un étage. Vous pouvez même le remuer pendant qu’il travaille sans qu’il bronche !

En comparaison, les disques durs ne supportent pas bien les déplacements pendant qu’ils travaillent.

La vitesse est évidemment époustouflante sur un port compatible. La copie de fichiers, gros ou petits, est incroyablement rapide. Par rapport à un disque dur classique, le SSD est environ 15 fois plus rapide. L’onglet activité du disque du moniteur de ressources Windows permet de vérifier ce gain.

Si vous le voulez, compte-tenu des performances impressionnantes, vous pouvez aussi l’utiliser pour démarrer sur un VHD.

disque SSD interne SATA
disque SSD interne SATA

La technologie disque SSD interne SATA m’a conquis

Depuis, j’ai installé le disque SSD interne SATA Crucial pour le système d’exploitation de mon portable. Là aussi, c’est le jour et la nuit en termes de performances.

L’ordinateur est à nouveau réactif.

De plus, outre les qualités intrinsèques du disque SSD, l’autonomie du portable est encore plus importante.

Les performances sont aussi meilleures avec un disque SSD interne SATA

Avec ce type de disque SSD, vous pouvez observer une vitesse de lecture séquentielle de plus de 530 Mo/s.

Par ailleurs, la vitesse de lecture aléatoire peut atteindre quasiment 100 Ko/s.

Vous avez aussi une meilleure efficacité énergétique. En effet, celle-ci peut être près de 100 fois supérieure à celle d’un disque dur classique.

Bien évidemment, vous bénéficiez aussi d’une meilleure longévité par arapport à un disque dur classique. En effet, l’absence de petites pièces mobiles diminue les risques de défaillances.

Les disques SSD sont disponibles aussi bien pour l’environnement Windows, Mac ou Linux.

Catégories
Prestations Audits Formations

Algorithme de parcours d’une arborescence de fichiers

Dans cet article, vous allez découvrir comment réaliser un script qui procède à un parcours récursif et automatique d’une arborescence de fichiers.

En effet, afin de sauvegarder tous les fichiers du disque dur dans une archive compressée et cryptée, nous avons développé un programme en batch qui utilise la ligne de commande de WINRAR. Il fonctionne très bien, toutefois j’ai rencontré deux soucis.

Le premier problème, c’est la taille des données qui augmente sans cesse. Faire une unique sauvegarde de la totalité des données n’est pas pratique lors des restaurations. Un sous-répertoire est une archive. Le fichier archive est donc de taille plus petite.

Il faut gérer aussi le renommage des répertoires. Le script doit gérer dynamiquement le renommage d’un dossier.. Aussi le script procède à un parcours récursif des répertoires afin de découvrir automatiquement le nom des dossiers.

Le parcours récursif est actuellement sur deux niveaux, mais il est possible d’ajouter des niveaux supplémentaires sans difficulté.

Prenons un exemple. Les données à sauvegarder sont stockées dans une arborescence de quelques dossiers sur un lecteur Q:

Les dossiers du niveau 1 sont, par exemple:

    • A_faire,
    • Archives,
    • En_attente,
    • Important,
    • Personnel,
    • Travail,
    • Volumineux.

La taille de ces dossiers de niveau 1 est trop importante. Il faut dons faire la sauvegarde au niveau de chaque sous-dossier. Les sous-dossiers, comme les dossiers, n’ont pas d’espace dans leur nom : présence d’un tiret (“-“) ou d’un underscore (“_”) à la place de l’espace.

Aussi, le script doit sauvegarder chaque sous-dossier individuellement dans une archive. Cette archive est compressée et chiffrée. La structure du nom de l’archive est dossier.sous-dossier.rar. Un disque externe stocke les sauvegardes.

Parcours récursif d’une arborescence de fichiers

Le principe de fonctionnement est le suivant :

  • La liste des dossiers de Q: est stockée dans le fichier backup1.lst, grâce à la commande dir Q: /b > backup1.lst.
  • La commande FOR /f “delims=: tokens=1” %%a in (‘TYPE backup1.lst’) do (…) traite le contenu de backup1.lst.

Puis pour chaque nom présent dans backup1.lst, le script utilise la même technique pour produire un fichier backup2.lst qui contient la liste des sous-dossiers:

  • dir Q:%%a /b > backup2.lst
  • FOR /f “delims=: tokens=1” %%b in (‘TYPE backup2.lst‘) do call svg-0.01b.cmd %%a %%b

Le programme svg-0.01b.cmd se charge de la compression.

Une remarque sur le mot de passe. Notamment, celui-ci est en clair dans svg-0.01b.cmd : ce qui n’est pas prudent. Toutefois, il existe des techniques assez simple pour le lire à partir d’un fichier texte qui serait sur un emplacement sécurisé, mais finalement ça ne ferait que déplacer le problème.

Enfin, dans le même esprit, vous trouverez un script PowerShell pour diviser un fichier vCard en sous-fichiers vCard, qui eux-mêmes peuvent être divisés en sous-fichiers, etc.

Téléchargez le fichier zip suivant, qui contient le script : SVG_V1_0_0.zip

arborescence de fichiers
arborescence de fichiers
Catégories
Prestations Audits Formations

Commandes AppCmd IIS prêtes à l’emploi

Pour administrer IIS (Internet Information Server), il existe des outils comme l’interface graphique du Gestionnaire IIS, les scripts WMI (rootWebAdministration), PowerShell, le code managé de l’API Microsoft.Web.Administration et aussi l’outil en ligne de commande AppCmd IIS.

Afin d’automatiser l’audit de IIS, j’ai développé une série de petits scripts basés sur AppCmd IIS. Ces scripts ont été rédigés après la lecture de l’article Appcmd.exe (IIS 7) de Microsoft.

Par ailleurs, certains des scripts peuvent s’utiliser sans personnalisation. Toutefois, de nombreux scripts nécessitent une adaptation des variables pour fonctionner correctement dans votre environnement.

AppCmd IIS
AppCmd IIS

Outils AppCmd IIS (Lettre A)

  • AUTHAnonymous- désactive l’authentification anonyme.
  • AUTHBase+ active l’authentification de base.
  • AUTHClaims+ active l’emprunt d’identité ASP.NET.
  • AUTHClaimsUser impose que IIS emprunte l’identité d’un compte précis.
  • AUTHDigest+ active l’authentification Digest avec un domaine précis.
  • AUTHFBA+ active l’authentification par formulaire.
  • AUTHWindows+ active l’authentification Windows.

Outils AppCmd IIS (Lettres B-C)

  • Backup sauvegarde la configuration IIS.
  • BackupList liste les sauvegardes existantes.
  • BackupNommée sauvegarde IIS avec un nom de sauvegarde imposé.
  • BackupRestaure restaure une sauvegarde nommée précise.
  • BackupSansConfirm sauvegarde la configuration IIS. Vous ne sauvegardez pas le contenu.
  • Compression+ active la compression HTTP du contenu statique.
  • CompressionParams configure les paramètres de compression de contenu statique.
  • Custerr ajoute un message d’erreur personnalisé pour l’erreur 401.2.
  • CustomHeaders ajoute un en-tête de réponse.

Outils AppCmd IIS (Lettres D à F)

  • DirectoryBrowse- désactive l’exploration de répertoire.
  • DirectoryBrowse+ active l’exploration de répertoire.
  • DocDefautFiles- supprime un fichier de la liste de documents par défaut.
  • DocDefautFiles+ ajoute un fichier à la liste de documents par défaut.
  • FilteringEtendus+ autorise les caractères étendus.
  • FilteringExtensions- supprime une règle applicable à une extension précise de nom de fichier.
  • FilteringExtensions+ ajoute une règle d’autorisation applicable à une extension précise de nom de fichier.
  • FilteringExtensionsUnlisted- refuse les extensions de nom de fichier non répertoriées.
  • FilteringExtensionsWebDav- n’applique pas le filtrage des extensions de nom de fichier aux demandes WebDAV.
  • FilteringMaxContenu spécifie une longueur maximale du contenu.
  • FilteringMaxEntete spécifie la taille maximale des en-têtes comportant une valeur précise.
  • FilteringMaxURL spécifie une longueur maximale d’une URL entrante.
  • FilteringURL- ne fait pas d’analyse des URL qui contiennent une séquence précise.
  • FilteringVerb+ autorise un verbe.
  • FilteringVerbUnlisted- refuse les verbes non répertoriés.
  • FilteringVerbUnlistedWebDav- n’applique pas le filtrage des verbes aux demandes WebDAV.

Outils AppCmd IIS (Lettres H à P)

  • Help affiche l’aide d’AppCmd.
  • IPSecAddress- crée une règle de refus pour une adresse IPv4.
  • IPSecAddress+ crée une règle d’autorisation pour une adresse IPv4.
  • ISAPI crée une restriction ISAPI qui active une extension ISAPI.
  • Log- désactive la journalisation.
  • Log+ active la journalisation.
  • MaxBandwidth limite la bande passante pour un site Web.
  • MaxConnexions limite le nombre de connexions.
  • MaxTimeout limite le timeout pour un site web.
  • MIME ajoute un type MIME.
  • PoolList identifie tous les pools d’applications en cours d’exécution.
  • PoolRecycle recycle tous les pools d’applications en cours d’exécution.

Outils AppCmd IIS (Lettre R)

  • Redirect- désactive la redirection.
  • Redirect+ active la redirection et redirige les utilisateurs vers un autre site web.
  • RedirectPermanent change le code d’état retourné pour la redirection (code réponse.
  • RedirectStandard change le code d’état retourné pour la redirection (code réponse.
  • RedirectTemporaire change le code d’état retourné pour la redirection (code réponse.
  • RequestsList affiche la liste des demandes en cours d’exécution.

Outils AppCmd IIS (Lettres S à W)

  • SecurityRule- crée une règle de refus pour les utilisateurs anonymes.
  • SecurityRule+ crée une règle d’autorisation pour tous les utilisateurs.
  • SecurityRuleComplex crée une règle d’autorisation pour les rôles Admin et Invité, ainsi que pour les utilisateurs Alice et Bob, puis applique cette règle aux verbes GET et POST.
  • SiteAdd ajoute un nouveau site Web.
  • SiteAutoStart affiche les sites arrêtés qui ne doivent pas s’exécuter automatiquement.
  • SiteConfig stocke la totalité de la configuration d’un site web dans un fichier au format XML.
  • SiteConfigEnregistre enregistre les informations de configuration d’un site dans un fichier.
  • SiteConfigRestaure restaure les informations de configuration d’un site à partir d’un fichier au format XML.
  • SiteDelete supprime un site web.
  • SiteList affiche les caractéristiques d’un site web.
  • SitesDeplacePool déplace toutes les applications d’un site vers un nouveau pool d’applications.
  • SiteSet modifie l’ID d’un site.
  • SitesList liste tous les sites Web.
  • SitesStartAll démarre tous les sites.
  • SiteStopped affiche les sites arrêtés.
  • SMTP+ configure le courrier électronique SMTP pour remettre immédiatement les courriels.
  • SSLPage exige SSL 128 bits pour un fichier HTML.
  • SSLSite exige SSL 128 bits pour le site Web.
  • Trace+ active la journalisation du suivi des demandes ayant échoué au niveau du site.
  • WPList répertorie les processus de travail en cours d’exécution.

Grille de lecture

Par ailleurs, le nom de mes scripts respecte, peu ou prou, les règles suivantes.

Notamment, vous trouverez le prefix AppCmd- devant un script Appcmd IIS.

Ensuite, le mot qui suit désigne la catégorie concernée (AUTH: Authorisation, WP: Worker Process, Site, SSL, Backup, Max, etc.).

Puis, il y a éventuellement un complément (MaxTimeout).

Puis, le signe + à la fin désigne un ajout ou une activation.

Enfin, le signe – à la fin désigne un retrait ou une désactivation.

Aussi, vous pouvez utiliser ces scripts comme vous voulez. Notamment, c’est à à vos risques et périls car il n’y a aucune garantie.

Téléchargez le fichier zip suivant, qui contient les scripts : AppCmd_V1_0_0.zip

Catégories
Prestations Audits Formations

Démarrer sur un VHD

Cet article explique comment faire pour démarrer sur un VHD (virtual hard disk). Le VHD est un fichier sur lequel Windows ou Windows Server est installé.

Afin d’avoir de bonnes performances, privilégiez un disque SSD interne SATA.

Pré-requis à l’installation d’un boot sur disque dur virtuel

  • Windows doit être installé sur votre ordinateur.
  • Avoir Windows Server 2008 monté sur le lecteur E: (par exemple).

Procédure d’installation pour démarrer sur un VHD

Lancer le gestionnaire de disques : Gestion de l’ordinateur puis Gestion des disquesCréer un disque dur virtuel VHD: Clic droit sur Gestion des disques puis choisir Créer un disque dur virtuel.

Choisir l’emplacement physique du fichier VHD, la taille (40 Go) et Taille fixe (impératif).

Patienter une dizaine de minutes.

Configurer le VHD

Ensuite vous allez initialiser le disque dur virtuel. Pour cela, vous cliquez sur la petite case à gauche de la représentation du disque. Puis vous faites un clic droit et vous cliquez sur Initialiser le disque.

Garder l’option par défaut (secteur de démarrage principal activé) et cliquer sur OK.

Formater le nouveau disque en NTFS: Sur la représentation du disque, faire un clic droit et choisir Nouveau volume simple.

Dans l’assistant qui s’ouvre, cliquer sur Suivant sur la page d’accueil.

Ensuite, dans la page Spécifier la taille du volume, garder les options par défaut et cliquer sur Suivant.

Puis, dans la page Attribuer une lettre de lecteur ou chemin d’accès, attribuer la lettre de lecteur V: (par exemple), laisser les autres options par défaut et cliquer sur Suivant.

Puis, dans la page Formater une partition, garder les options par défaut et cliquer sur Suivant.

Enfin, cliquer sur Terminer.

Vous pouvez fermer la Gestion de l’ordinateur.

Démarrer sur un VHD
Démarrer sur un VHD

Appliquer une image Windows

Télécharger Install-WindowsImage, sur C:\Users\administrateur\Downloads (par exemple).

Le script PowerShell Install-WindowsImage utilise la DLL (Dynamic Link Library) wimgapi.dll pour appliquer une image Windows dans un fichier Wim à un emplacement spécifié.

Vous utiliserez ce script pour appliquer une image Windows sur un disque dur virtuel VHD.

Vous allez débloquer le fichier téléchargé. Pour cela, vous faites un clic droit dur le fichier PowerShell puis vous allez dans les Propriétés. Ensuite, dans l’onglet Général, vous cliquez sur le bouton Débloquer et ensuite sur le bouton OK.

Ouvrir une Invite de commandes avec le jeton non filtré : Démarrer > Tous les programmes > Accessoires.

Sur Invite de commandes, faire un clic droit et choisir Exécuter en tant qu’administrateur.

Lancer PowerShell : Dans l’invite de commandes précédemment ouverte, taper PowerShell.

Autoriser l’exécution d’un script non signé: Dans PowerShell, taper set-ExecutionPolicy RemoteSigned

Aller à l’emplacement du téléchargement du script: Dans PowerShell, taper cd C:\Users\administrateur\Downloads, par exemple.

Sélectionner l’installation Windows

Comme un média de Windows peut avoir plusieurs installations disponible, il faut récupérer l’index des installations: Dans PowerShell, taper .Install-WindowsImage.ps1 -WIM E:sourcesinstall.wim, où E: est l’emplacement des fichiers d’installation de Windows Server 2008 R2. Noter le numéro d’index qui correspond au type d’installation que vous voulez faire.

Ce numéro d’index apparaît entre crochets: [3], par exemple. Le numéro d’index devra être tapé sans les crochets [].Exécuter le script Install-WindowsImage: Dans PowerShell, taper .Install-WindowsImage.ps1 -WIM E:sourcesinstall.wim -Apply -Index 3 -Destination V:, où E: est l’emplacement des fichiers d’installation de Windows Server 2008 R2; 3 est l’index de l’installation choisie (Installation complète de Windows Server 2008 R2 Entreprise, par exemple); V: est l’emplacement du disque dur virtuel. Patienter une quinzaine de minutes.

Mettre à jour les informations de démarrage : Dans PowerShell, taper: V:\Windows\System32\bcdboot V:\Windows, où V: est l’emplacement du disque dur virtuel.

Fermer complètement la fenêtre PowerShell.

Démarrer sur un VHD avec Windows Server

Redémarrer: une nouvelle possibilité de démarrage apparaît avec l’intitulé Windows Server.

Un nouveau redémarrage sera probablement nécessaire après la mise à jour des périphériques.