Stanislas Quastana's WebLog

Accédez à distance à votre système d'information avec les solutions d'entreprise de Microsoft

Nous vivons une époque formidable :

• L'accès à Internet est devenu possible depuis quasiment n'importe où grâce à :
  • L’extension de la couverture d'Internet via ADSL
  • Le développement des réseaux de type hotspot WIFI
  • L’expansion rapide de la couverture de l'Internet mobile (3G)
  • La démocratisation des PC portables, Netbook et autres équipements communicants
• Nos entreprises nous encouragent de plus en plus (de manière plus ou moins forcée en fonction de l'actualité) à travailler à distance (et cela avec les avantages et inconvénients associés ;-))

Tout cela est bien joli, mais il ne faut pas oublier que tout cela n'est possible que grâce aux équipes IT qui doivent choisir, installer, sécuriser et maintenir des solutions d'accès distants offrant aux employés et dirigeants une expérience la plus transparente possible tout en maintenant un niveau de sécurité acceptable par les équipes responsables de la sécurité du système d'information.

L'IT d’aujourd’hui doit donc faire un choix déterminé par de nombreux paramètres :

• La facilité de mise en oeuvre de la solution
• La simplicité d'usage de la solution par les utilisateurs nomades ou en télé-travail (utilisateurs qui par définition ne sont pas des experts IT)
  
• Le niveau de sécurité exigé par le RSSI et assuré par la solution
• Le coût de la mise oeuvre et d'utilisation de la solution

Rien que chez Microsoft, de nombreux produits ou technologies répondent aux besoins de nomadisme des utilisateurs et peuvent répondre à vos besoins d'accès à distance à votre système d'information. L'objectif de ce billet est de faire un résumé (le plus exhaustif possible et un peu technique) de ces solutions avec leur positionnement respectif en fonction des 4 critères ci-dessus.

Tout d'abord, pour commencer, la "BIG picture" des solutions Microsoft d'accès distants :

La suite sur mon blog TechNet : http://blogs.technet.com/stanislas/archive/2009/09/25/acc-dez-distance-votre-syst-me-d-information-avec-les-solutions-d-entreprise-de-microsoft.aspx

Installation pas à pas d'une plateforme DirectAccess avec utilisation de Forefront UAG

Une série de 3 articles sur le montage pas à pas d’une plateforme DirectAccess avec Forefront UAG.

Plein de ressources sur DirectAccess avec Windows Server 2008 R2 et Windows 7

L'été a été propice à la publication de pas mal de contenu sur DirectAccess avec Windows 7 et Windows Server 2008 R2. Voici une liste non exhaustive (mais déjà bien complète) d'information sur le sujet :

DirectAccess : mythes & réalité - partie 1 : IPv6
http://blogs.technet.com/stanislas/archive/2009/06/08/directaccess-mythes-r-alit-partie-1-ipv6.aspx

DirectAccess : mythes & réalité - partie 2 : IPsec
http://blogs.technet.com/stanislas/archive/2009/06/29/directaccess-mythes-r-alit-partie-2-ipsec.aspx

DirectAccess : mythes & réalité - partie 3 : La résolution de noms DNS
http://blogs.technet.com/stanislas/archive/2009/07/03/directaccess-mythes-r-alit-partie-3-la-r-solution-de-noms-dns.aspx

DirectAccess : mythes & réalité - partie 4 : Détermination du réseau et utilisation ou pas de DirectAccess
http://blogs.technet.com/stanislas/archive/2009/08/10/directaccess-mythes-r-alit-partie-4-d-termination-du-r-seau-et-utilisation-ou-pas-de-directaccess.aspx

Guide de dépannage DirectAccess pour les administrateurs Windows
http://blogs.technet.com/stanislas/archive/2009/08/18/guide-de-d-pannage-directaccess-pour-les-administrateurs-windows.aspx

DirectAccess & Teredo : le cas des flux sortants du LAN Entreprise vers les clients DirectAccess
http://blogs.technet.com/stanislas/archive/2009/07/02/directaccess-teredo-le-cas-des-flux-sortants-du-lan-entreprise-vers-les-clients-directaccess.aspx

DirectAccess Design Guide
http://www.microsoft.com/downloads/details.aspx?familyid=647222D1-A41E-4CDB-BA34-F057FBC7198F&displaylang=en

Step By Step Guide: Demonstrate DirectAccess in a Test Lab
http://www.microsoft.com/downloads/details.aspx?displaylang=en&FamilyID=8d47ed5f-d217-4d84-b698-f39360d82fac

Ma plateforme Windows Server 2008 R2 / Windows 7 avec DirectAccess - des informations utiles
http://blogs.technet.com/stanislas/archive/2009/06/01/ma-plateforme-windows-server-2008-r2-windows-7-avec-directaccess-des-informations-utiles.aspx

DirectAccess : l'installation pas à pas d'une plateforme de test par Benoit Sautiere
http://blogs.technet.com/stanislas/archive/2009/06/05/directaccess-l-installation-pas-pas-d-une-plateforme-de-test-par-benoit-sautiere.aspx

DirectAccess et Forefront UAG (Unified Access Gateway)
http://blogs.technet.com/stanislas/archive/2009/07/07/directaccess-et-forefront-uag-unified-access-gateway.aspx

Un super document sur TCP/IP incluant des informations sur IPv6 (utile donc pour DirectAccess)
http://blogs.technet.com/stanislas/archive/2009/06/09/un-super-document-sur-tcp-ip-incluant-des-informations-sur-ipv6-utile-donc-pour-directaccess.aspx

Bonne lecture :-)

DirectAccess : mythes & réalité - partie 2 : IPsec

Windows 7 couplé à Windows Server 2008 R2 offre une nouvelle fonctionnalité destinée aux professionnels baptisée DirectAccess.

DirectAccess permet à l'utilisateur de se connecter à distance au Système d'Information de l'entreprise de manière complètement transparente. Les personnes qui utilisent aujourd'hui Outlook 2003 ou 2007 couplé à Exchange Server 2003 ou 2007 avec la fonctionnalité RPC sur HTTPS connaissent déjà une première expérience de la transparence des accès distants : il suffit de démarrer le client de messagerie et celui-ci trouve tout seul le moyen de se connecter au serveur Exchange que le poste soit connecté sur Internet ou au sein du réseau local. Et bien DirectAccess, c'est la même expérience mais appliquée à l'ensemble des applications exécutées sur Windows 7.

A la différence d'une connexion VPN nomade (classique ou SSL), DirectAccess ne nécessite aucune intervention de l'utilisateur, il n'y a pas de connexion à établir au travers d'un gestionnaire de connexion.

Commençons par un schéma très basique d’une architecture DirectAccess :

Parmi les technologies nécessaires et utilisées par DirectAccess, on voit bien sur ce schéma qu’il y a IPv6 et IPsec

IPv6 a été traité dans un billet précédent : cf. DirectAccess : mythes & réalité - partie 1 : IPv6  (http://blogs.technet.com/stanislas/archive/2009/06/08/directaccess-mythes-r-alit-partie-1-ipv6.aspx)

Beaucoup de personnes se documentant (ou ayant vu mon schéma ci-dessus) sur DirectAccess voient IPsec dans la liste des pré-requis, ce qui génère beaucoup d'interrogations et d'idées reçues
- C'est quoi IPsec ?
- IPsec ce n'est que pour les tunnels VPN ?
- IPsec c'est pour chiffrer les communications ?
- IPsec est-il vraiment nécessaire pour DirectAccess ?
- ...

J’ai donc développé ces différents points pour vous éclairer sur le pourquoi du comment de la présence d’IPsec dans DirectAccess.

L’article complet est sur mon blog à l’adresse suivante : http://blogs.technet.com/stanislas/archive/2009/06/29/directaccess-mythes-r-alit-partie-2-ipsec.aspx

Forefront TMG disponible en version beta 3

Une bien bonne nouvelle : la sortie de la beta 3 de Forefront Threat Management Gateway (TMG) qui est comme vous le savez le successeur d'ISA Server 2006. Et cette beta 3 est téléchargeable par tous !

Quoi de neuf dans cette nouvelle beta ?

• Le produit est feature complete c’est à dire qu’il intègre (normalement) toutes les fonctions qui seront disponibles dans la version finale
• Il intègre le filtrage d'URL qui utilise MRS (Microsoft Reputation Service). Nous avons également annoncé des partenariats entre MRS et des tiers travaillant sur le filtrage URL comme BrightCloud (cf. http://www.prweb.com/releases/2009/06/prweb2500324.htm)
• Un nouvel assistant de préparation à l'installation qui permet l'installation des pré-requis à Forefront TMG
• Cette beta introduit également la notion de version Standard et de version Entreprise
• Le scénario Forefront TMG dans un workgroup (dans les betas précédentes, il fallait avoir le serveur Forefront TMG membre d'un domaine)
• La capacité à s'installer sur Windows Server 2008 R2, le support officiel de Windows Server 2008 et 2008 R2 sera fait avant la fin de l'année
• Amélioration du NIS (Network Inspection Sytem)
• Support du protocol VPN SSTP (Secure Socket Tunneling Protocol) qui est du VPN SSL (Fonction disponible à partir de Windows Vista SP1 côté poste client)
• La possibilité de regrouper des règles
• Des fonctions de recherches
• Protection des serveurs Exchange 2007 SP1 et Exchange 2010 (beta)
• Intégration de Powershell (pour l'instant en mode lecture seule)

Bref que du bon, je vais préparer du contenu sur le sujet cet été donc venez jeter un oeil sur ce blog pour plus d'informations ;-)

Télécharger Forefront Threat Management Gateway à l'adresse suivante :
http://www.microsoft.com/downloads/details.aspx?displaylang=en&FamilyID=e05aecbc-d0eb-4e0f-a5db-8f236995bccd

Un super document sur TCP/IP incluant des informations sur IPv6 (utile donc pour DirectAccess)

En recherchant des informations sur IPv6, je viens de tomber sur une perle : une véritable bible sur TCP/IP incluant bien entendu plein d'informations sur IPv6 et donc forcément très utile en ces temps où se posent plein de questions sur le sujet ;-)

TCP/IP Fundamentals for Microsoft Windows
 
 Chapitre 1  : Introduction à TCP/IP
 Chapitre 2  : Vue d'ensemble de l'architecture de la suite de protocoles TCP/IP
 Chapitre 3  : L'adressage IP
 Chapitre 4  : Le sous-adressage, la segmentation
 Chapitre 5  : Le routage IP
 Chapitre 6  : DHCP
 Chapitre 7  : La résolution de noms d'hôtes
 Chapitre 8  : Vue d'ensemble du DNS
 Chapitre 9  : Le support de DNS dans Windows
 Chapitre 10 : TCP/IP de bout en bout
 Chapitre 11 : NetBIOS sur TCP/IP
 Chapitre 12 : Vue d'ensemble de WINS
 Chapitre 13 : IPsec et le filtrage de paquets
 Chapitre 14 : Les réseaux privés virtuels (VPN)
 Chapitre 15 : Technologies de transition IPv6
 Chapitre 16 : Dépannage TCP/IP

(en rouge les chapitres intéressants pour DirectAccess)

 
Bref vous l'aurez compris, c'est un Must to have dans sa bibliothèque numérique d’autant que le document (je devrais dire le livre car c’est quand même 560 pages !)
  
Télécharger le PDF TCP/IP Fundamentals for Microsoft Windows sur :
http://www.microsoft.com/downloads/details.aspx?FamilyID=c76296fd-61c9-4079-a0bb-582bca4a846f&DisplayLang=en

DirectAccess : mythes & réalité - partie 1 : IPv6

Windows 7 couplé à Windows Server 2008 R2 offre une nouvelle fonctionnalité destinée aux professionnels baptisée DirectAccess.

DirectAccess permet à l'utilisateur de se connecter à distance au Système d'Information de l'entreprise de manière complètement transparente. Les personnes qui utilisent aujourd'hui Outlook 2003 ou 2007 couplé à Exchange Server 2003 ou 2007 avec la fonctionnalité RPC sur HTTPS connaissent déjà une première expérience de la transparence des accès distants : il suffit de démarrer le client de messagerie et celui-ci trouve tout seul le moyen de se connecter au serveur Exchange que le poste soit connecté sur Internet ou au sein du réseau local. Et bien DirectAccess, c'est la même expérience mais appliquée à l'ensemble des applications exécutées sur Windows 7.

A la différence d'une connexion VPN nomade (classique ou SSL), DirectAccess ne nécessite aucune intervention de l'utilisateur, il n'y a pas de connexion à établir au travers d'un gestionnaire de connexion.

Parmi les technologies nécessaires et utilisées par DirectAccess, il y a IPv6, un protocole réseau qui remplacera à terme (disons dans plusieurs, plusieurs années) IPv4 qui le protocole réseau le plus utilisé sur Internet.

Beaucoup de personnes se documentant sur DirectAccess voient IPv6 dans la liste des pré-requis, ce qui génère beaucoup d'interrogations et d'idées reçues :
- Je n'ai pas d'IPv6 dans mon réseau d'entreprise donc je ne peux pas faire de DirectAccess
- Si je veux mettre en oeuvre DirectAccess dans mon entreprise, cela implique une refonte complète de mon infrastructure réseau (Firewall, routeur...)
- Il va falloir refaire les plans d'adressage IP de toute l'entreprise
- DirectAccess ne fonctionnera pas depuis mon réseau à la maison car je suis en IPv4
- Seul les FAI qui proposent de l'IPv6 permettent de faire du DirectAccess
- ....

Du coup, beaucoup pensent que DirectAccess n'est pas possible dans leurs environnements ce qui est une erreur !!!

J’ai donc écrit un article sur ce sujet afin de couper court à toutes spéculations et idées reçues :-)

L’article est visible à l’adresse suivante : http://blogs.technet.com/stanislas/archive/2009/06/08/directaccess-mythes-r-alit-partie-1-ipv6.aspx

Ma plateforme Windows Server 2008 R2 / Windows 7 avec DirectAccess - des informations utiles

ça y est, je viens de prendre le temps de réinstaller l'ensemble de ma plateforme Windows Server 2008 R2 et Windows 7 avec les versions Release Candidate des OS Server et client.
Du coup, j'en ai profité pour configurer DirectAccess en m'inspirant du nouveau guide pas à pas disponible en téléchargement (cf. http://blogs.technet.com/stanislas/archive/2009/05/25/guide-pas-pas-pour-tester-directaccess.aspx)

Voici donc à quoi ressemble ma plateforme de test (mais aussi de démos, ceux qui me verront en présentation dans les prochains mois pourront la voir de visu)

La suite et le détail de cette plateforme à l’adresse suivante : http://blogs.technet.com/stanislas/archive/2009/06/01/ma-plateforme-windows-server-2008-r2-windows-7-avec-directaccess-des-informations-utiles.aspx

Ajouter Bing en tant que Search Connector dans Windows 7

Chakkaradeep, un développeur SharePoint vient de poster un Search Connector Windows 7 utilisant notre nouveau moteur de décision BING.

le fichier .OSDX est téléchargeable sur son SkyDrive :

Pour l'installation, c'est très simple : double cliquez sur le fichier .osdx et cliquez sur OK.

Pour utiliser ce Search Connector, le sélectionner dans l'Explorateur et saisir en haut à droite votre recherche (ici : Forefront dans mon exemple)

Plus d'informations sur : http://www.chakkaradeep.com/post/2009/05/31/Add-Bing-to-Windows-7.aspx

Sinon, je vous propose également des Search Connector pour rechercher sur TechNet et MSDN, c'est à l'adresse suivante :
http://blogs.technet.com/stanislas/archive/2009/02/27/4-search-connectors-windows-7-pour-chercher-sur-technet-et-msdn-en-fr.aspx

Ajouter Bing à votre Firefox

Pour les utilisateurs de Firefox, un add-on est désormais disponible pour ajouter le moteur de décisions Bing (www.bing.com) à la liste des moteurs de recherche.

Pour ajouter Bing à la liste, il suffit de cliquer d’ouvrir le menu des options de recherche

Puis cliquer sur Manage Search Engines

Tapez Bing dans la zone de Recherche, puis cliquer sur le bouton Add to Firefox

Et voilà, ça fonctionne :-)

Introduction à la sécurité dans Windows 7

Chris Corio vient d'écrire un article pour l'édition de mai du Magazine TechNet présentant quelques (pas toutes) améliorations en terme de sécurité dans Windows 7: "An Introduction to Security in Windows 7"

Au programme :

• Windows Biometric Framework
• Extending Authentication Protocols
• BitLocker Core Enhancement
• BitLocker To Go
• UAC Improvements
• AppLocker
• Global SACLs and Granular auditing

L'article est à lire si vous n'avez jamais jeté un oeil au sujet car c'est vraiment une introduction.

Version en français : http://technet.microsoft.com/fr-fr/magazine/2009.05.win7.aspx

Version originale en anglais : http://technet.microsoft.com/en-us/magazine/2009.05.win7.aspx

Pour ceux qui veulent aller plus dans le détail, le mieux c'est de regarder les vidéos en français des sessions des Microsoft Techdays 2009 ainsi que les e-démos sur ces sujets :

• 1 heure de démonstrations sur les fonctions de sécurité de Windows 7 [Vidéo Techdays 2009]
  http://blogs.technet.com/stanislas/archive/2009/04/20/1-heure-de-d-monstrations-sur-les-fonctions-de-s-curit-de-windows-7-vid-o-techdays-2009.aspx
• La session de Bernard Ourghanlian : Windows 7 et la sécurité
  http://www.microsoft.com/france/vision/mstechdays09/Webcast.aspx?EID=4b135076-2b9e-4e89-9250-34a47b56aa32
• 2 vidéos sur Windows 7 à télécharger : AppLocker et BitLocker To Go
  http://blogs.technet.com/stanislas/archive/2009/03/13/2-videos-sur-windows-7-a-telecharger-applocker-et-bitlocker-to-go.aspx

Améliorations de la PKI dans Windows 7 et Windows Server 2008 R2

Jean Morello vient d'écrire un article pour l'édition de mai du Magazine TechNet sur les améliorations apportés à la PKI (Infrastructure de clés publiques) dans Windows Server 2008 R2 et Windows 7

PKI Enhancements in Windows 7 and Windows Server 2008 R2

Au programme :

• Consolidation de serveurs
• Amélioration de scénarios existants
• Logiciels + services
• Authentification forte

L'article résume parfaitement les nouveautés et les bénéfices à migrer vers Windows Server 2008 R2 pour ces scénarios.

Lire la version en français : http://technet.microsoft.com/fr-fr/magazine/2009.05.pki.aspx
Lire la version originale en anglais : http://technet.microsoft.com/en-us/magazine/2009.05.pki.aspx

Guide pas à pas pour tester DirectAccess

Un nouveau document vient de sortir sur DirectAccess : “Step By Step Guide: Demonstrate DirectAccess in a Test Lab” qui comme son nom l’indique vous permet de mettre en oeuvre une plateforme de test de DirectAccess à partir des versions Release Candidate (RC) de Windows 7 et Windows Server 200 R2

Télécharger le document : http://www.microsoft.com/downloads/details.aspx?displaylang=en&FamilyID=8d47ed5f-d217-4d84-b698-f39360d82fac

Document comparatif DirectAccess versus VPN

Un petit document comparatif et pas trop technique vient d’être publié afin de vous aider à bien faire la différence entre DirectAccess et une connexion VPN nomade.

A lire si vous n’avez pas encore vu de contenu plus technique sur ces sujets :

Next Generation Remote Access with DirectAccess and VPNs

http://www.microsoft.com/downloads/details.aspx?displaylang=en&FamilyID=70723e47-3d57-415b-9182-744ceaf8c04a#tm

En mai, fais vraiment ce qu'il te plait :-)

Après une année bien chargée (je parle d’année fiscale US), je prend un peu de repos bien mérité (si si ;-)) direction le soleil !

On se retrouve donc fin mai rechargé à bloc pour la suite…