• Article

Windows Vista

Mise en réseau d'entreprises avec Windows Vista

Jason Leznek

 

Vue d'ensemble:

  • La pile TCP/IP nouvelle génération
  • Outils de mise en réseau centrés sur l'utilisateur
  • Amélioration de la sécurité réseau
  • Simplification de la gestion de réseau

À quand remonte la dernière fois que vous avez passé une journée entière sans connexion à votre réseau d'entreprise ? Rappelez-vous. Pas d'accès à votre courrier électronique. Impossibilité de naviguer sur Internet. Impossible d'utiliser

les imprimantes ou les fichiers partagés. Impossible d'accéder à vos données essentielles dans les bases de données de vente. En bref, impossible de travailler.

La connectivité réseau est essentielle dans le monde du travail. De même, les utilisateurs sont beaucoup plus exigeants en terme de mobilité, connectant leurs ordinateurs portables d'entreprise à la plupart des réseaux publics ou domestiques. Tremblez-vous à l'idée de ramifications de sécurité ?

Les ingénieurs de l'équipe de réseau Windows Vista™ connaissent l'importance de la connectivité, et ils ont travaillé dur pour obtenir le meilleur ensemble d'innovations réseau depuis Windows® 95. Avec Windows Vista, la mise en réseau devient plus simple d'utilisation, plus sécurisée, plus facile à gérer et évolutive pour la majeure partie des réseaux.

L'édition de Windows XP date de cinq ans. Entre-temps, beaucoup de choses ont changé, par exemple le besoin omniprésent de fonctionnalités de réseau sans fil, n'importe où ; les réglementations gouvernementales ou industrielles comme la loi Sarbanes-Oxley et la loi HIPAA ; et le besoin de réduire les coûts et de mettre à profit les investissements actuels avec davantage d'efficacité. Les utilisateurs attendent des ressources réseau pour «être là » et être frustrés par le moindre souci de connectivité. Pour finir, les utilisateurs sont plus mobiles que jamais, et il y a des chances qu'ils ne soient pas connectés uniquement à votre réseau d'entreprise, en effet, ils pourraient se connecter à pratiquement tous les réseaux de la ville.

Tout d'abord, la pile

Windows Vista inclut une implémentation mise à jour de la pile TCP/IP, qui présente des améliorations significatives remédiant à plusieurs des problèmes principaux, offrant de meilleures performances et des débits plus élevés, une architecture Wi-Fi native et des API pour la vérification des paquets réseau.

Pour optimiser l'utilisation du réseau, un réglage complexe des paramètres de configuration TCP/IP est nécessaire. Windows Vista élimine le besoin d'effectuer cette opération manuellement en détectant les conditions du réseau et en optimisant automatiquement les performances. Sur les réseaux à fortes pertes, comme les réseaux sans fil, Windows Vista récupère mieux après les pertes de paquets, qu'elles soient simples ou multiples. Il peut augmenter ou diminuer dynamiquement la fenêtre de réception TCP pour utiliser le lien complètement. Les utilisateurs transférant des fichiers sur un réseau WAN à haut débit/latence élevée ou téléchargeant des fichiers sur Internet devraient remarquer la réduction des temps de transfert.

Windows Vista inclut également une architecture réseau sans fil (WiFi natif) intégrée à la pile réseau. Les avantages concernent un déploiement flexible sur plusieurs marques et modèles de matériel, des expériences utilisateur comparables sur tout type de matériel et des pilotes de carte réseau tiers sans fil plus fiables. Une mise en réseau sans fil sur Windows Vista peut être centralisée, car elle prend en charge les derniers protocoles de sécurité et offre à l'utilisateur un réseau homogène.

La plate-forme Windows Filtering Platform (WFP) est une nouvelle architecture incluse dans la pile TCP/IP nouvelle génération fournissant des API que les développeurs de logiciels tiers peuvent utiliser pour participer aux décisions de filtrage prises sur plusieurs couches dans la pile de protocoles TCP/IP sans devoir écrire leurs propres applications en mode noyau. La plate-forme fournit également la prise en charge des fonctionnalités de pare-feu nouvelle génération, telles que la communication authentifiée et la configuration de pare-feu dynamique basée sur une utilisation des applications de l'API Windows Sockets (stratégie basée sur les applications).

De plus larges possibilités

Le Network and Sharing Center est un endroit unique qui permet aux utilisateurs de vérifier l'état du réseau, de savoir s'ils sont connectés, à quoi ils sont connectés et s'ils se trouvent sur le réseau local ou sur Internet (voir la figure 1). Ils peuvent également consulter l'état de divers services réseau sur leur ordinateur. L'ordinateur peut-il être détecté sur le réseau local ? Y a-t-il des dossiers ou des imprimantes en partage ? L'utilisateur peut également créer ou se connecter à un réseau existant, qu'il s'agisse d'un réseau sans fil ad hoc ou d'infrastructure, d'un réseau VPN ou d'une connexion large bande domestique.

Figure 1 Centre réseau et partage

Figure 1** Centre réseau et partage **(Cliquer sur l'image pour l'agrandir)

Windows Vista peut également diagnostiquer et résoudre plusieurs problèmes de connectivité sans que l'utilisateur ait besoin d'appeler le support technique. Le composant Network Diagnostics Framework fournit à Windows Vista la possibilité d'identifier l'origine du problème de connectivité à partir du contexte de l'action de l'application. Par exemple, si l'utilisateur ne peut pas accéder à un site Internet, les diagnostics du réseau essaient de retracer l'origine du problème en recherchant la présence d'une connexion sans fil active et une adresse IP valide, ainsi qu'en accédant au serveur DNS, en recherchant le serveur proxy et en recevant une réponse du serveur Web.

En cas de détection d'un problème, l'utilisateur reçoit un message identifiant clairement le problème et sa solution (voir la figure 2). Dans certains cas, c'est aussi simple qu'un clic. Dans d'autres cas, l'utilisateur doit apporter des modifications à la configuration, de sorte que la boîte de dialogue indique l'emplacement exact à l'utilisateur. Il arrive aussi que l'utilisateur ne puisse simplement pas entreprendre l'action appropriée par manque de connaissance ou de droits administratifs ; des informations plus détaillées sont consignées dans l'Observateur d'événements, permettant au support technique de passer rapidement à la résolution du problème plutôt que de se consacrer au dépannage pendant des heures.

Figure 2 Résolution d'un problème de connectivité

Figure 2** Résolution d'un problème de connectivité **(Cliquer sur l'image pour l'agrandir)

Windows Vista possède des API Network Awareness que les applications peuvent appeler pour obtenir un état de connectivité, qui les informe des modifications de la connectivité et leur permet d'identifier le type de réseau (domaine, public ou privé) auquel l'ordinateur est actuellement connecté. Lorsque Windows Vista peut accéder au contrôleur de domaine sur le réseau, il passe automatiquement au profil de domaine. Aucun autre réseau ne peut être placé dans cette catégorie. Tous les autres réseaux sont classés comme publiques, à moins qu'un utilisateur ou une application identifie le réseau comme privé. Les réseaux représentant les connexions directes à Internet ou installés dans des lieux publics, tels que les aéroports et les cafés, doivent rester publics. Seuls les réseaux situés derrière un dispositif passerelle privé doivent être identifiés comme privés, tels que les réseaux domestiques ou des petites entreprises.

Grâce à la détection réseau, les applications telles que le pare-feu Windows avec sécurité avancée (étudiées plus loin) peuvent avoir des configurations différentes en fonction du type de réseau auquel elles sont actuellement connectées, et commuter automatiquement entre plusieurs configurations à chaque changement du type de réseau. Par exemple, l'administrateur a peut-être configuré le pare-feu pour ouvrir des ports spécifiques pour le logiciel de gestion des postes de travail lorsque l'ordinateur est connecté au réseau de domaine, mais ces mêmes ports doivent se fermer automatiquement lorsque l'utilisateur travaille sur une zone publique.

La stratégie de groupe a également connaissance du réseau dans Windows Vista : elle sait automatiquement quand l'ordinateur se trouve sur le réseau de domaine et commence à traiter un nouveau paramètre de stratégie de groupe sans devoir attendre le prochain cycle d'actualisation. Cela signifie que Windows Vista assurera une vérification automatique des nouveaux paramètres de stratégie de groupe lors de sa connexion au réseau de domaine même s'il sort d'une mise en veille prolongée. Les administrateurs pourront ainsi déployer des paramètres de sécurité plus rapidement en cas d'urgence.

Sécurisation du réseau

Il existe plusieurs types de menaces : des utilisateurs accédant à des réseaux sans fil trompeurs, des ordinateurs invités défectueux se connectant à un réseau d'entreprise et des ressources non gérées tentant d'accéder à des ressources qui leur sont interdites. Ces menaces sont suffisantes pour remplir la journée entière d'un administrateur réseau et l'inquiéter toute la nuit. Windows Vista peut aider dans la résolution de tous ces scénarios, grâce à ses fonctionnalités améliorées de sécurité réseau complètes mais pourtant simples à configurer.

L'architecture Wi-Fi native de Windows Vista est assez étendue pour prendre en charge les derniers protocoles de sécurité, comme WPA2 (Wi-Fi Protected Access) entreprise et personnel, PEAP-TLS et PEAP-MS-CHAP v2 (Protected Extensible authentification Protocol avec Transport Layer Security et avec Microsoft Challenge Handshake authentification Protocol). Cette large prise en charge assure l'interopérabilité entre Windows Vista et pratiquement toutes les infrastructures sans fil. Les possibilités de la carte réseau sans fil sont examinées par Windows Vista et le protocole le plus sécurisé est sélectionné par défaut lors de la connexion ou de la création de réseaux sans fil. À l'aide de l'infrastructure EAP-HOST, Windows Vista est capable de prendre en charge des procédures d'authentification personnalisées définies par un fabricant de matériel ou par une organisation.

Windows Vista apporte de nombreuses améliorations au comportement du client sans fil pour réduire les attaques sans fil courantes. Le client se connectera automatiquement aux seuls réseaux que l'utilisateur a explicitement demandés ou identifiés dans ses préférences, et non aux réseaux ad hoc. Le client envoie également un avertissement si l'utilisateur est sur le point d'initier une connexion sur un réseau non sécurisé. De plus, le client demandera activement quelques réseaux préférés et, uniquement si l'utilisateur le lui indique, il créera un réseau leurre portant le même nom, rendant plus difficile l'identification par les pirates du réseau auquel le client tente de se connecter.

Le client sans fil natif Windows Vista prend en charge une fonctionnalité d'authentification unique (SSO), qui exécute une authentification réseau de couche 2 au moment opportun indiqué dans la configuration de sécurité réseau, tout en effectuant l'intégration de la connexion Windows de l'utilisateur. Une fois le profil d'authentification unique configuré, la connexion au réseau précédera la connexion à Windows. Cette fonctionnalité permet des scénarios tels que des mises à jour de stratégie de groupe, des scripts de connexion et des programmes d'amorçage sans fil, qui nécessitent une connectivité réseau avant la connexion de l'utilisateur.

Le pare-feu Windows avec sécurité avancée fournit un nouveau niveau de sécurité réseau sur la plate-forme Windows, prenant en charge les filtrages entrants et sortants, ainsi que Windows Service Hardening. Si le pare-feu détecte un service Windows présentant un comportement anormal selon la définition des règles réseau de Windows Service Hardening, le pare-feu le bloque. Le pare-feu Windows avec sécurité avancée prend également en charge un contournement authentifié, qui permet à certains ordinateurs authentifiés par IPsec de court-circuiter/contourner/d'éviter les règles du pare-feu pour des tâches telles que la gestion à distance.

Une des modifications les plus importantes du pare-feu Windows est son intégration à IPsec. Auparavant, les administrateurs devaient compter sur deux outils distincts, un pare-feu et un outil de gestion et de déploiement IPsec, pour créer un ensemble en couches de règles de sécurité réseau. Avec Windows Vista, les administrateurs peuvent créer des règles de sécurité réseau simples pouvant combiner à la fois le port du pare-feu et les règles IPsec pour protéger le réseau contre tout accès non autorisé. Cette intégration fournit une méthode simple pour renforcer des communications réseau de bout en bout authentifiées, donnant un accès évolutif à plusieurs niveaux aux ressources réseau sécurisées et/ou protégeant la confidentialité et l'intégrité des données.

L'administrateur peut logiquement isoler le réseau d'entreprise en zones accessibles par n'importe quel ordinateur (y compris les invités) ou simplement par les ordinateurs authentifiés au domaine (isolation des domaines). L'administrateur peut également isoler les serveurs spécifiques qui ne doivent être accessibles que par un ensemble d'utilisateurs ou d'ordinateurs, par exemple un serveur d'application RH limité aux ordinateurs membres du groupe RH (isolation des serveurs), comme illustré dans la figure 3.

Figure 3 Isolement de serveur et de domaine

Figure 3** Isolement de serveur et de domaine **

Les virus ou les vers peuvent pénétrer des réseaux privés via un ordinateur portable mobile et rapidement infecter d'autres ordinateurs. Windows Vista, lors d'une connexion à l'infrastructure réseau basée sur Windows Server portant le nom de code « Longhorn » (prochaine version de Windows Server), prendra en charge la plate-forme Network Access Protection (NAP) pour réduire les risques de connexion d'ordinateurs infectés aux réseaux privés directement ou via une connexion VPN. Si un ordinateur exécutant Windows Vista fait défaut en matière de mises à jour de sécurité actuelles, de signatures de virus ou qu'il ne respecte pas les exigences de sécurité de l'entreprise, NAP lui interdit l'accès total au réseau. Il sera connecté à un réseau restreint sur lequel il peut télécharger et installer les mises à jour, les signatures antivirus ou les paramètres de configuration nécessaires pour répondre aux exigences actuelles en matière de sécurité.

Simplification de la gestion de réseau

Les fonctionnalités réseau de Windows Vista ont été conçues pour prendre en charge des hauts niveaux de gérabilité afin de réduire le coût du déploiement des réseaux sans fil et des stratégies de sécurité réseau et d'assurer une certaine qualité de service pour les applications et les utilisateurs. Windows Vista utilise une stratégie de groupe ou un script de ligne de commande via l'environnement réseau de manière intensive pour gérer les fonctionnalités réseau. Vous n'avez donc pas besoin d'apprendre à utiliser ou de déployer un nouvel outil de gestion, et vous pouvez profiter de votre investissement existant dans Active Directory® et la structure d'unité d'organisation que vous avez déjà créée.

Le déploiement et la gestion des règles de sécurité réseau, combinant pare-feu et stratégies IPsec, sont simplifiés dans un nouveau composant logiciel enfichable Microsoft Management Console (MMC) unique, guidé par un assistant, appelé pare-feu Windows avec sécurité avancée (voir la figure 4) ou script de ligne de commande via l'environnement réseau. Le nouveau composant logiciel enfichable donne une méthode simple pour déployer un filtrage entrant ou sortant ainsi que des règles de sécurité de connexion qui limitent l'accès par des utilisateurs, des ordinateurs ou des applications spécifiques, tout en fournissant un niveau granulaire de contrôle administratif. IPSec peut demander ou exiger l'authentification de l'utilisateur, de l'ordinateur ou du certificat de bon fonctionnement (intégrée à la protection de l’accès réseau) pour fournir une stratégie de sécurité basée sur le scénario. Le composant logiciel enfichable simplifie les règles de création de serveur ou d'isolation des domaines, et puisqu'il est basé sur une stratégie de groupe, vous pouvez cibler ces règles en fonction de la structure de votre entreprise.

Figure 4 Pare-feu Windows avec sécurité avancée

Figure 4** Pare-feu Windows avec sécurité avancée **(Cliquer sur l'image pour l'agrandir)

Une stratégie de groupe peut également vous permettre de définir comment les clients mobiles se connectent et fonctionnent sur des réseaux sans fil. Par exemple, une société peut définir une stratégie nécessitant toutes les connexions sans fil pour utiliser un certain protocole ou définir que toutes les connexions doivent être limitées à un certain réseau sans fil. Comme ces paramètres sont conçus via une stratégie de groupe, il est possible d'empêcher l'utilisateur final de modifier ces paramètres.

L'environnement réseau permet l'automatisation et l'écriture de script pour aider à résoudre les problèmes rencontrés avec les connexions sans fil. L'interface de ligne de commande permet aux administrateurs de vérifier, modifier ou de supprimer des profils de configuration réseau sans fil d'un client. Ces profils de configuration peuvent également être exportés vers et importés depuis d'autres ordinateurs pour accélérer l'attribution de privilèges d'accès pour plusieurs ordinateurs.

La qualité de réseau peut s'en trouver réduite parce que les applications large bande tendent à utiliser toute la capacité disponible, et qu'elles ne sont pas écrites pour fournir le contrôle central de la bande passante aux administrateurs informatiques. L'ajout de bande passante peut ne pas résoudre ces problèmes, car les mêmes applications consommeront la nouvelle capacité disponible. Avec une qualité de service basée sur la stratégie (QoS), les administrateurs peuvent établir une hiérarchie et/ou limiter le trafic sortant du réseau sans qu'une modification des applications ne soit nécessaire. Les stratégies peuvent soit marquer un trafic sortant par une valeur DSCP (Differentiated Services Code Point) pour que les routeurs établissent une hiérarchie, soit laisser Windows Vista limiter la quantité de trafic sortant envoyée, sans tenir compte de la configuration du routeur. Combiner les deux techniques apporte une plus grande flexibilité. La figure 5 illustre la création de la stratégie QoS.

Figure 5 Création d'une stratégie QoS

Figure 5** Création d'une stratégie QoS **(Cliquer sur l'image pour l'agrandir)

Mise à l'échelle de l'entreprise et au-delà

Les organisations de niveau entreprise s'inquiètent souvent des problèmes d'évolutivité lors de la prise en charge de leur réseau. Par exemple, vous pouvez commencer à manquer d'adresses IP disponibles, particulièrement lorsque les exigences commerciales introduisent plusieurs périphériques en réseau par utilisateur (ordinateurs portables) et des périphériques mobiles (Smartphones). De manière similaire, vous pouvez être intéressé par l'ajout de services réseau supplémentaires, tels que IPsec, tout en vous préoccupant de leur impact sur la charge du processeur. Windows Vista résout les problèmes d'évolutivité du réseau en prenant en charge le protocole IPv6 et les fonctions de déchargement matériel.

Pour résoudre les problèmes des adresses IPv4 publiques limitées, certains gouvernements, ISP et autres organisations passent au protocole IPv6, la nouvelle version du protocole réseau qui fait fonctionner Internet. Windows Vista prend en charge les protocoles IPv4 et IPv6 via une architecture en pile IP à deux couches. IPv6 est activé par défaut, et la prise en charge de la pile à deux couches vous permet de migrer progressivement à l'aide des technologies de transition IPv6 pouvant faire transiter le trafic IPv6 sur un réseau IPv4 privé ou sur Internet. Windows Vista prend en charge en mode natif les réseaux privés virtuels (VPN) via les protocoles PPPv6 et Layer 2 Tunneling Protocol (L2TP/IPv6), permettant ainsi aux utilisateurs distants de tirer parti des avantages des réseaux IPv6.

Windows Vista prend en charge le transfert du traitement du trafic réseau vers des cartes réseau spécialisées. De nouvelles fonctions de déchargement comprennent le déchargement de IPv6 et TCP Chimney. Ces innovations architecturales optimisent les performances et le débit réseau pour atteindre les performances et les gains opérationnels permis par les réseaux haut débit actuels. L'utilisation de cartes réseau compatibles peut empêcher les goulets d'étranglement relatifs au traitement de paquets réseau, tels que la surcharge du processeur et la bande passante de mémoire disponible, sans nécessiter de modifications par rapport aux applications ou aux outils de gestion réseau existants.

La pile réseau prend également en charge l'évolutivité côté réception, qui équilibre dynamiquement les connexions réseau entrantes de façon à répartir la charge entre plusieurs processeurs ou cœurs, réduisant les goulets d'étranglement potentiels lors du traitement du trafic réseau.

Résumé

Windows Vista représente la mise à jour la plus importante de la mise en réseau Windows depuis Windows 95. L'utilisation des réseaux câblés et sans fil est simplifiée pour les utilisateurs mobiles. La nouvelle pile réseau à réglage automatique permet de transférer des fichiers plus rapidement. Les entreprises apprécieront la diminution des risques de sécurité, notamment la protection accrue face aux menaces introduites par les utilisateurs mobiles et sans fil. Les administrateurs système trouveront Windows Vista facile à gérer, grâce à sa fonction permettant de créer des stratégies de sécurité granulaire pour le trafic réseau ainsi que des stratégies QoS pour les applications cruciales. Ces nouvelles fonctionnalités vous offrent davantage de latitude avec votre infrastructure réseau tout en diminuant les tâches d'administration et augmentant la productivité de l'utilisateur final.

Ressources supplémentaires

Jason Leznek est le chef de produit senior pour la mise en réseau avec Windows Vista. Il travaille pour Microsoft depuis près de dix ans et était chef de produit pour Windows Server Update Services et la Stratégie de groupe avant de rejoindre l'équipe Windows Vista. Auparavant, il a passé sept ans sur le terrain chez les entreprises clients de Microsoft.

© 2008 Microsoft Corporation et CMP Media, LLC. Tous droits réservés. Toute reproduction, totale ou partielle, est interdite sans autorisation préalable.