Windows XP SP2 et Windows Vista : Déploiement, sécurisation et administration du poste de travail
Par Fabrice Meillon, Philippe Ouensanga, Fabrice Meillon, Patrick Guimonet, Régis Mauger
Windows XP SP2 et Windows Vista : Déploiement, sécurisation et administration du poste de travail
.gif)
Sur cette page
.gif){kind=icon}
Q: Active directory est il fortement impacté par Vista ?
R: Non pas réellement, ce sont principalement les stratégies de groupes (GPO) qui subissent une évolution naturelle (plus de fonctions dans Vista = une mise à jour des .adm pour pouvoir les gérer via GPO). Le document suivant donne quelques informations sur le sujet Managing Group Policy ADMX Files Step by Step Guide.doc http://www.microsoft.com/downloads/info.aspx?na=46&p=3&SrcDisplayLang=en&SrcCategoryId=&SrcFamilyId=311f4be8-9983-4ab0-9685-f1bfec1e7d62&u=http%3a%2f%2fdownload.microsoft.com%2fdownload%2f3%2fb%2fa%2f3ba6d659-6e39-4cd7-b3a2 9c96482f5353%2fManaging+Group+Policy+ADMX+Files+Step+by+Step+Guide.doc&oRef=http%3a%2f%2fwww.google.com%2fsearch%3fq%3dWindows%2bVista%2bStep-by-Step%2bGuides%2bfor%2bIT%2bProfessionals
.gif){kind=icon}
Haut de pageQ: Cela veut il dire qu’il va y avoir un outil graphique pour configurer et gérer WinPE ?
R: Non, il s’agit toujours du même outil, il y aura un WAIK qui permettra de personnaliser les installation et l'OPK. Plus d'infos sur : http://www.microsoft.com/downloads/details.aspx?familyid=c7d4bc6d-15f3-4284-9123-679830d629f2
Q: Quelles sont les nouveautés prévues avec Vista pour l'installation à distance. Les installations RIS sont-elles toujours supportées et y-a-t-il une amélioration de l'interface (je pense à un passage du mode texte au mode graphique) ?
R: L'installation de Windows Vista en regard de Windows XP est totalement différente, plus de mode texte, tout est désormais graphique avec un démarrage PXE intégré sur le DVD d'installation, de nouveau outils pour générer le fichier unattend (maintenant en XML), l'utilisation du format d'image WIM. Pour l'installation, RIS subira un léger update avec Windows Deployment Services qui sera une mise à jour disponible permettant l'installation de Vista, plus d'info sur : http://www.microsoft.com/france/technet/produits/windowsvista/deplovw.mspx
Q: Vista fonctionnera avec un firewall différent de celui de Windows XP SP2? Si oui, quelles seront ses fonctionnalités?
R: Le firewall de Vista fonctionne sur le même principe que celui du SP2 avec en plus du filtrage en sortie ainsi que la prise en charge d'IPSec. Tout sera paramétrable via à un composant de la MMC (Microsoft Management Console). L'intégration du pare-feu bi-directionnel et d'IPsec dans une même console (MMC) d'administration permet de faciliter la mise en oeuvre IPSec à des fins d'Isolation. Note : cette console n'est pas disponible directement depuis les raccourcis dans Windows Vista (CTP de Décembre). Pour l'obtenir, il faut exécuter MMC.exe et ajouter le snap-in "Windows Firewall with Advanced Security". Et pour terminer, il est possible de créer des règles de pare-feu (entrante ou sortante) basées sur des ordinateurs, utilisateurs, ports, protocoles, interface, programmes spécifiques.
Q: Bonjour, sera-t-il possible de crypter la totalité du disque système des postes de travail Vista (pc portable notamment) et si oui, quels sont pré-requis ou contraintes (AD ? PKI ?...)
R: Oui ce sera possible. C’est d’ailleurs une des nouveautés de Windows Vista. La fonction s'appelle BitLocker ou encore Secure Startup, elle va nécessiter l'utilisation d'un TPM (Trusted Platform Module en version 1.2) et/ou d'une clé USB pour le stockage des clés privées (nécessaire pour déchiffrer). Bien entendu, il sera possible de stocker également ces clés dans l'AD afin permettre aux administrateurs de déchiffrer un disque en cas de panne matérielle... Un document de configuration pas à pas existe en téléchargement : "BitLocker Drive Encryption Step by Step Guide" http://download.microsoft.com/download/b/f/f/bff9d3dc-5e72-448c-822a-ecc372449b45/bde_note.doc
Q: Existe-il un tutorial détaillant un "plan" de sécurisation des postes XP-Vista ?
R: La dernière version du guide de sécurisation est disponible sur : http://www.microsoft.com/technet/security/prodtech/windowsxp/secwinxp/default.mspx, en outre une session sur cette problématique sera jouée sur cette problématique
Q: Je voudrais savoir ce qu’est exactement : Windows Imaging Format (WIM)?
R: Il s’agit d’un nouveau format d'image pouvant contenir plusieurs images dans un seul fichier, plus d'infos sur http://www.microsoft.com/technet/windowsvista/expert/ximage.mspx, il sera accompagné d'un outil Ximage permettant de modifier à volonté le contenu des images dans le WIM.
Q: Pourriez-vous m'indiquer qu'elle sera la config minimale à avoir pour installer vista (ram, cpu, etc...) ?
R: Il existe un lien où les configurations nécessaires pour Vista sont indiquées : http://technet.microsoft.com/en-us/windowsvista/aa905075.aspx CPU: PC systems should have a modern CPURAM — PC systems should have 512MB of memory or more.GPU — PC systems should have a graphics processor that will support Windows Display Driver Model (WDDM).
Q: J'aimerais savoir si la sécurité de Windows Vista sera identique à celle de XP ou plus élaboré ?
R: La sécurité est un des piliers très importants de Windows Vista. Beaucoup de changements ont été effectués en profondeur. Des exemples: UAC User Account Control qui instaure une notion de privilège sur le poste de travail, le firewall en entrée/sortie, Windows defender (Antispyware intégré), le durcissement des services (Windows Services Hardening). Voir plus d’informations sur le site suivant : http://www.microsoft.com/france/technet/produits/windowsvista/secfeat.mspxOui, Vista a subi de nombreuses évolutions en terme de sécurité : IE (Anti-phishing, mode protégé, renforcement des services (réduction des privilèges utilisés), pare-feu bi-directionnel, une nouvelle couche IP (Next Generation TCP/IP Stack in Windows Vista and Windows Server "Longhorn" : http://www.microsoft.com/technet/community/columns/cableguy/cg0905.mspx) et le support de IPv6 (et donc intégration d'IPSec), UAC (User Account Control) qui permet de ne pas être adminstrateur tout le temps. Vista est également client NAP (Network Access Protection --> fonction disponible avec Longhorn Server), BitLocker (cf. au début du Chat)... Et tout cela résumé dans un lien : http://www.microsoft.com/technet/windowsvista/evaluate/feat/secfeat.mspx
Q: J'ai entendu parler de AERO, pourriez-vous m'en dire plus?
R: AERO est le nom de code générique décrivant la nouvelle expérience utilisateur offerte dans Windows Vista. Concrètement, il s'agit d'un ensemble d'API proposé pour développer un nouveau type d'applications qui offre à l'utilisateur une expérience fascinante, du moment où il commence à interagir avec l'ordinateur, jusqu'au moment où il l'éteint. Les développeurs peuvent traiter le gestionnaire de fenêtres du bureau, les éléments graphiques des fenêtres et les contrôles de l'IU. Par ailleurs, AERO se distingue par ses thèmes, sa disposition et son style, ainsi que par les contrôles d'origine de Windows Presentation Foundation (ancien nom de code Avalon).
Q: Avez-vous déjà tester la création de réseau avec des pc sous Vista et Windows XP SP2 simultanément? Si oui, cela est-il simple a configurer?
R: Tout sera fait dans Windows Vista pour simplifier la détection, l'installation et la configuration des réseaux. De nouvelles fonctionnalités permettront également d'échanger plus simplement entre PCs. Vous pourrez trouver une présentation de toutes ces nouvelles fonctionnalités à l'adresse suivante: http://www.microsoft.com/france/windows/vista/experiences/connected.mspxEn ce qui concerne la compatibilité avec Windows SP2, il est juste annoncé une complète compatibilité ascendante.
Q: Les firewalls de type réseau personnel devront-ils mettre à jour leurs fimrware afin de fonctionner avec Vista? Si oui, les constructeurs ont-ils prévu cela?
R: Il est encore un peu tôt pour le dire mais normalement non. Il est à noter qu'un outil va être fournit en cours d'année aux constructeurs de matériel pour tester et mettre à jour le firmware, bios drivers afin de préparer au mieux les "migrations". Il s'agit de l'ACT Application Compatibily Toolkit.
Q: Le format WIM de Vista est-il le même que celui dans SMS 2003 OSD ?
R: Non ce n'est pas le même, OSD de SMS verra une update dans les mois prochains qui permettra de déployer Vista, le format commun entre SMS et VISTA n'arrivera qu'avec la prochaine version de SMS courant 2007.
Q: Peut être un peu hors sujet. Quand est prévue la bêta 2 de Vista ? Comprendra-t-elle la nouvelle interface graphique basée sur AERO? Comment s'inscrire au programme d'évaluation ?
R: La béta 2 de Windows Vista est prévu courant deuxième trimestre 2006, nous n'en savons pas plus à ce jour. En ce qui concerne AERO, cette fonctionnalité est intégrée depuis la béta 1 disponible depuis septembre dernier.
Q: Est-il possible de bloquer les clés USB avec Windows XP et Vista ?
R: Oui cela est possible, c'est une des nouvelles fonctionnalités en termes de sécurité sous Windows Vista. De plus des informations détaillées sur cette fonctionnalité et sa mise en œuvre sont disponibles à l'adresse suivante:
http://technet.microsoft.com/en-us/windowsvista/aa905075.aspx
Concernant le blocage des clés USB sous Windows XP :
http://support.microsoft.com/default.aspx?scid=kb;en-us;823732; « HOW TO: Disable the Use of USB Storage Devices in Windows XP »
Q: Le déploiement d'un OS est souvent accompagné du déploiement de soft, le format MSI étant préconisé par Microsoft, Vista sera t-il accompagné d'un nouvel outil de repackaging?
R: La technologie du fichier WIM permet d'installer une machine de référence avec les applications, de faire un Sysprep puis une capture et un déploiement de l'image soit avec Ximage soit avec Windows deployment Services (ex RIS) soit avec OSD de SMS, il n'y a pas d'outils de repackaging avec Vista mais dans SMS.
Q: Qu'est ce que WPF et en quoi cela changera le développement d'application pour Vista ?
R: WPF: Windows Presentation Foundation (ancien nom de code AVALON) est une des 3 briques de WinFX. WPF va permettre aux applications de tirer partie de la GPU de la carte graphique. En effet pour afficher une application, WPF se base sur le bureau dirextx10 ce qui rend notamment l’affichage plus rapide.
Q: Est-ce que Vista sera un remplacement uniquement de XP ou de XP ET Windows Server 2003 ? (Peut-il être destiné aussi à une utilisation serveur type Terminal Server?)
R : Vista est le successeur de Windows XP. C'est un système d'exploitation pour les postes clients.Longhorn Server utilisera également les technologies de la génération Vista et sera le successeur de Windows Server 2003 (système d'exploitation orienté serveurs).
Q: Quelles sont les différences entre Vista et Windows XP SP3?
R: Le SP3 de Windows XP n'est pas encore d'actualité. Un Service Pack permet de corriger des problèmes identifiés dans une version existante. Windows Vista est la prochaine version majeure de Windows pour le poste client.
Q: Est-il possible de migrer des postes NT4 vers Vista de façon automatique si le hard le permet ?
R: Non, cela ne sera pas possible de faire une mise à niveau (upgrade), par contre l'installation via le DVD de Vista sera possible. Mais il faudra réinstaller les applications sur le poste.
Q: Quelles seront les versions de Vista pour les postes de travail en entreprise ?
R: A ce jour, nous n'avons pas de réponses officielles pouvant être communiquées.
Q: Quel sera le prix d'une licence open Windows Vista ?
R: Le prix comme le packaging ne sont pas encore finalisés.
Q : Est ce que la version Vista Home (comme dans XP home) est prévu ?
R : C'est fort probable, mais à ce jour, nous n'avons pas de réponses officielles pouvant être communiquées.
Q: Je n'ai pas bien compris l'intérêt d'UAC car si j'ai bien compris un utilisateur simple pourra créer un réseau sans fil, récupérer et installer des mises à jour, etc. Il me semble que cela va plutôt à l'encontre de la sécurité !
R: Pour ce qui est de l'installation des mises à jour de sécurité, il s'agit tout simplement de reposer sur l'agent Windows Update intégré. Seules les mises à jour signées par Microsoft peuvent être installées. Il est tout à fait possible de désactiver UAC pour un utilisateur standard et donc le limiter cette fonctionnalité. De plus, UAC est également intéressant pour les administrateurs : il y a un intérêt à ne pas disposer des privilèges les plus élevés 100% du temps (cela fait longtemps d'ailleurs que cette philosophie est utilisée dans les systèmes Unix). Je vous encourage à venir aux Journées Microsoft de la Sécurité (http://www.microsoft.com/france/securite/evenements/salonsConferences/journeesSecurite/journees2004.aspx/) où plusieurs sessions seront consacrées à UAC (côté dev et côté infra).
Q: Est-ce-que Vista aura un antivirus intégré ? XP est bien livré avec un firewall pourquoi pas un antivirus ?
R: Non, il n'y aura pas d'antivirus dans Vista mais des solutions proposées pour disposer d'une solution d'antivirus.
Q: Quelles sont les fonctionnalités Peer-to-Peer de Vista ? Et quels sont les intérêts de ces fonctionnalités ?
R: Le Peer-to-Peer est en effet intégré à Vista afin d'offrir la possibilité de monter du Ad-hoc sécurisé quelque soit l'endroit où on se trouve. Windows Collaboration se base sur ce protocole pour faire u partage d'application bureau, document. La techno est issue de 3degree d'MSN. Objectif: Collaborer et se rendre indépendant du réseau qui nous entoure.
Q: Quelles seront les nouveautés en termes de GPO pour l'administration du poste de travail ?
R: Plus de paramètres configurables, intégration de GPMC, GPO multi-langue avec le format admx, plus d'infos sur: http://www.microsoft.com/technet/windowsvista/library/02633470-396c-4e34-971a-0c5b090dc4fd.mspx
Q: Je suppose que Vista suivra la ligné des Windows et sera donc encore plus gourmant en ressource... Ma question est donc quelle configuration minimale sera à prévoir (afin de prévoir la upgarde du parc) ?
R: Le lien indiquant les configurations nécessaires est ici : http://www.microsoft.com/technet/windowsvista/evaluate/hardware/vistarpc.mspx<BR< a>>
Q: Vous avez dit tout à l'heure que Windows Vista intègre le client Network Access Protection (NAP). Qu'en est-il de Windows XP? Est ce qu'il pourra également être client NAP ?
R: Oui, il pourra. Il faudra Windows XP SP2 au minimum et installer une mise à jour (le client NAP). http://www.microsoft.com/technet/itsolutions/network/nap/napfaq.mspx
Q: J'ai entendu parler du fait, que l'on pourra rajouter de la mémoire ram à partir d'un clé USB, est-ce vrai ?
R: En fait, il ne s'agit pas d'ajouter de la RAM qui pourrait servir à n'importe quel usage (comme l'ajout d'une barrette de mémoire). Dans Windows Vista, une fonctionnalité appelée le SuperFetch permet au système de pré-charger en mémoire les pages qui serviront à lancer des applications appelées fréquemment. Le résultat est que l'application se lance rapidement (aussi rapidement que si vous l'aviez lancée une première fois, puis fermée, puis relancée). Plus il y a de mémoire dans la machine et mieux cette fonctionnalité marche. Comme sur certaines machines, il est soit difficile, soit coûteux d'ajouter de la RAM (par exemple : portable), il sera possible d'ajouter une clé USB2 pour venir stocker des infos SuperFetch dedans. Pourquoi cela sera plus rapide ? Parce que l'accès à la mémoire USB2 est plus rapide que l'accès au disque dur. Quand on met une clé USB2 d'au moins 512 Mo, Windows Vista propose d'accélérer les performances de la machine en utilisant la clé USB (EMD - External Memory Device).
Q: Quelles outils seront retirés (ou ajoutés de Vista pour l'administration et la maintenance des postes de travail? (surtout au niveau du cmd qui a était maintenu jusque ici ou va-t-on passer au tout mode graphique afin de cloisonner l'utilisateur)
R: Group Policy management console, plus de paramètres dans les GPO, fichier ADMX, bloquer les ports USB etc, les outils en ligne de commande existe toujours, gestion des imprimantes etc...Windows Vista représente un grand pas dans l’engagement de Microsoft à réduire le coût total de possession (CTP) des ordinateurs Windows. Windows Vista est conçu pour réduire le coût de prise en charge des postes de travail, simplifier la gestion de leur configuration, mettre en œuvre une meilleure administration centralisée des postes et réduire leur coût de mise à jour.Windows Vista réduit le coût total de prise en charge via plusieurs innovations fondamentales. Les administrateurs peuvent automatiser de nombreuses tâches d'administration courante, ce qui permet de réduire les besoins en termes de maintenance. Windows Vista réduit également le temps nécessaire pour résoudre les problèmes de support, ce qui a pour effet d’améliorer la productivité des utilisateurs. Il sera également possible d'utiliser le nouvel outil de scripting MONAD avec Vista. Des ressources ici : http://www.microsoft.com/technet/scriptcenter/hubs/msh.mspx
Q: A quoi cela servirait de sortir Windows vista si Microsoft donne son code source (ADN ) du système d'exploitation ? On dit que ce ne sera pas pour les éditeurs de logiciels public mais il y aura toujours quelqu’un qui donnera le code-source.
R: Microsoft ne donne pas son code source! Nous avons effectivement des accords pour rendre le code source disponible à certaines entreprises ou partenaires éditeurs de logiciels (prochainement). Cet accord est bien entendu soumis à des conditions de non divulgation. Cela n'empêche bien entendu pas Microsoft de continuer à innover en proposant de nouvelles versions. La mise à disposition du code source permet simplement de pouvoir analyser certaines parties du code pour développer ou personnaliser de nouvelles fonctionnalités ou pour validation notamment au niveau sécurité pour des organismes classés secret-défense. Pour finir, il est illusoire de croire que la disponibilité du code de Windows permettrait à n'importe qui de se l'approprier. Pour information, la version Windows XP contient plus de 40 millions de lignes de code !.
Q: Peux t'on avoir un peu plus d'informations sur le firewall bidirectionnel intégré a Vista ? Une interface d'administration est prevue?
R: Un bon lien vaut mieux qu'un long discours: The Cable Guy - January 2006 - The New Windows Firewall in Windows Vista and Windows Server "Longhorn" ( http://www.microsoft.com/technet/community/columns/cableguy/cg0106.mspx)Il y a dans cet article des captures d'écran et beaucoup d'informations sur le nouveau pare-feu. En résumé : configuration via GPO, console graphique et script.
Q: Pourra-t-on faire des postes type libre service complètement cloisonné tant que l'on n’est pas connecté en administrateur (actuellement avec XP une personne sachant un peu bidouiller peut changer beaucoup trop de paramètres).
R: C'est possible sous XP avec la solution Shared Computer Toolkit cf : http://www.microsoft.com/technet/prodtechnol/winxppro/maintain/sct/default.mspx
Q: Y-aura-t-il une possibilité de faire une mise à jour de Windows XP SP2 vers Windows Vista?
R: Oui c'est prévu.
Q: Quelles fonctionnalités de Vista le SP3 de XP va apporter ? S’il en apporte bien sur ?
R: Il est trop tôt pour lister ces fonctionnalités compte tenu que Vista n'est pas encore finalisé et que le SP3 est annoncé pour 2007.
Q: Les drivers sous XP ou autres seront ils mis a jour pour Vista?
R: Tout va dépendre des constructeurs et de la mise à disposition de drivers spécifiques à Vista. Sachant qu'il sera normalement nécessaire d'avoir des drivers signés pour la version 64 bits
Q: Existera-t-il un ensemble de certifications (MCP) pour Vista ?
R: Oui probablement. Chaque version de Windows dispose de ses MCPs.
Q: Vista restera-t-il en NTFS ou va t'il y avoir une évolution de ce côté aussi?
R: Oui le système de fichier est toujours NTFS, la version et le format de NTFS va évoluer avec Vista.
Q: Et WinFS ?
R: WinFS est le nouveau "système de fichiers" de Windows Vista, il repose sur NTFS (les explications en anglais
http://msdn.microsoft.com/fr-fr/library/aa479870.aspx). en fait il s'agit d'une couche supplémentaire par rapport à NTFS. WinFS permet d'organiser, rechercher et partager les informations au sein d'une nouvelle plateforme de stockage.
Pour plus d'infos techniques, vous pouvez consulter le SDK en ligne <
http://msdn.microsoft.com/fr-fr/library/aa479870(en-us).aspx.
Vous pouvez consulter le blog des développeurs de WinFS
http://blogs.msdn.com/winfs/; WinFS est actuellement en Beta 1 téléchargeable pour les abonnés MSDN https://msdn.one.microsoft.com/home.aspx; Il s'installe sans difficulté sous Windows XP (éditions Familiales et Professionnelles).
Q: Sera-t-il possible d'utiliser le swap utilisateur pour gérer plusieurs sessions sans se déconnecter ?
R: Avec Vista, cela sera possible également en domaine (comme c'est déjà le cas sous XP en version Workgroup)
Q: EN BREF QUELLES SONT LES GROSSES DIFFERENCES FONDAMENTALES ENTRE XP ET VISTA?
R: IL y en a beaucoup: sécurité, administration, déploiement, connectivité et le look pour l'utilisateur. Plus d'informations sur : http://www.microsoft.com/france/technet/produits/windowsvista/default.mspxEn terme de réseau et sécurité : une nouvelle stack IP (cf. une de mes réponses précédente pour plus de détails), un pare-feu bi-directionnel (avec une console couplée IPSec), l'anti-phishing et le mode protégé d'IE 7.0, User Account Control (élévation de privilège quand nécessaire), Bitlocker (chiffrement intégral du volume système et utilisation de TPM), Windows Defender (anti spyware) intégré en standard avec mise à jour via Windows Update.
Q: Avez-vous un délai pour WinFS ?
R: Nous n'avons pas de date précise à ce jour. A priori ne pas compter sur une version finale avant le premier semestre 2007.
Q: Vista sera disponible a peu près a quelle période?
R: Il devrait être disponible fin 2006.
Q: Y-aura-t-il de nouveaux apports à la console de récupération sur vista ?
R: oui beaucoup de chose. Le mieux c'est d'aller sur : http://www.microsoft.com/technet/windowsvista/reliable/default.mspx
Q: Avez vous un lien pour se rendre compte du look de vista?
R: Vous pouvez allez sur le blog suivant : http://blogs.technet.com/longhorn/ il y a beaucoup de copies d'écrans et d'informations.
Q: Il parait que Microsoft veut sortir d'abord le système de recherche et après le système de fichiers qui remplacera le NTFS, est-ce c'est bien ça ?
R: Effectivement Windows Vista intègrera Windows Desktop Search (système de recherche) et fournira une nouvelle version de NTFS. WinFS arrivera par contre en 2007.
Q: Les pc équipés de Windows xp 64bits fonctionneront-ils sous Windows vista?
R: Oui. Il y aura une version x64 de Windows Vista.
Q: Est-ce que le Framework version 2 qui est dispo sur XP sera encore plus complet sur vista ?
R: Non, aucune nouvelle version du framework n'est envisagée pour Vista à court terme.
Q: Windows Vista Beta permet il une bonne expérience utilisateur en tant que machine virtuelle?
R: Si la question signifie : "Est ce que l'utilisation de Windows Vista dans une VPC est jouable en terme de rapidité et performances" alors la réponse est mi-figue mi-raisin : il faut quand même prévoir de la mémoire RAM et cela reste une beta. En plus, pas d'AeroGlass et il faut utiliser les derniers VPC addition Tools. Il faut installer les virtual Machine additions sur Virtual Server 2005 R2 cf http://blogs.technet.com/fabricem_blogs/archive/2005/12/06/415636.aspx
Q: Est-ce que le registre sera présent dans Vista, il me semble que Vista n'en aura plus besoin mais n'en faut il pas un pour que les applications d'ancien Windows soit compatible ?
R: Windows Vista proposera toujours un registre.
.png)
