CULTe : Home | Association | Reunions | Projets | Listes de diffusion | Recherche | Best of Linux-31 | Trombinoscope

(Courriels de diversion: <entachaient@ressortisses-renoncees.com> <mouillage@aimons-boxerais.com> <abonde@desapprend-alienais.com> <lambrissees@fissure-distillons.com> <coudrons@repondit-suppletifs.com> <reverer@amortissait-renaîtront.com> <creuses@navigable-echos.com> <troues@regater-dignitaire.com> <obsequieuse@differenciation-limonadiers.com> <jouxtaient@mystificatrices-ecu.com> ) 

Bonjour,

Microsoft veut déployer un nouveau système de sécurité dans les entreprises : le contrôle des mises à jour et de la santé d'un ordinateur. En raison du nombre grandissant de virus et de failles, et du manque de suivi de sécurité dans les entreprises (avec notament le Wi-Fi, les ordinateurs portables qui sortent, les collaborateurs qui amènent leur ordinateur,...), Microsoft a donc décidé d'agir. Comment ? Déjà, avec WSUS, successeur de SUS, permettant de centraliser les mises à jour Microsoft sur un seul poste de l'entreprise. Ainsi, il n'est plus utile de télécharger toutes les mises à jours depuis Internet pour chaque poste. L'arrivée de NAP propose une aide complémentaire : une analyse de la machine lors de la connexion réseau ! Un script est envoyé par un serveur pour contrôler les mises à jour du système, la présence et l'activation d'anti-virus et de firewall, ... Si tout va bien, l'ordinateur se connecte au réseau avec tous les privilèges. Dans le cas contraire, il part sur le réseau de quarantaine pour l'accès aux patchs, services packs, etc. Bref, de bonnes idées qui devraient tout simplement faciliter et révolutionner le travail des administrateurs.

Maintenant, vous me direz, et jusqu'à présent, vous avez raison : "Oui, mais ici on est sur une mailing list Linux, ce n'est pas pour faire de la pub pour cette société bien connue qui provoque de grosses voire d'énormes polémiques !"

Seulement il y'a un lien entre les OS non Microsoft et cette nouvelle. Cette mise en quarantaine fonctionne pour des réseaux VPN, IPSec et DHCP. Mais, voilà, il faut un moyen pour communiquer avec les machines avant la quarantaine et donc avant la connexion au réseau normal. Microsoft a donc opté pour l'implémentation de protocoles non standards dont notament un DHCP modifié. Prenons alors une machine Linux, *BSD ou autre qui se connecte au réseau local. Pour le moment, il n'existe pas de support de NAP sur ces plateformes. La requête DHCP part du poste client sur notre OS favori, et donc, arrive au serveur qui demande alors via DHCP l'état de santé de la machine. Et là, c'est le drame : pas de réponse de notre client ! Que se passe-t-il alors ? Et bien, notre machine sous Linux est donc sur le réseau de quarantaine, et si les procédures Microsoft sont appliquées à la lettre, elle a un accès uniquement sur ... le serveur de l'entreprise de mise à jour des produits Microsoft !

Cette technologie semble cependant intéressante, et en plus de cela, d'après ce qui a été dit à la journée de la sécurité Microsoft de Toulouse, un accès gratuit à toutes les ressources nécessaires à l'implémentation de NAP sur des plateformes non windows resterait en place. Le serveur gérant la santé des postes ne fonctionne qu'avec des scripts, ce qui permettrait de garantir l'intéropérabilité des OS. Ainsi, pour une station Linux, un contrôle sur la possibilité de se connecter en root par ssh pourrait se faire, et dans ce cas, mettre le poste en quarantaine jusqu'à ce qu'il soit conforme aux exigences de sécurité.

Affaire à suivre !

Pour plus d'informations, vous pouvez aller sur http://www.microsoft.com/nap

Cordialement,
Christophe Buffenoir


--------------------------------------------------------------------
Les listes de diffusion occultes: <URL:http://www.CULTe.org/listes/>

Cette page fait partie des archives des listes de diffusion de l'association CULTe.

A l'intention des mechants robots qui parcourent notre site a la recherche d'adresses electroniques a cibler avec des pourriels, voici une liste d'adresses pourries.