Capacité d'optimisation d'infrastructure : sécurité et mise en réseau - du niveau de base au niveau standardisé
Sur cette page
.gif "Présentation"){kind=icon}
Présentation
Exigence : antivirus pour ordinateurs de bureau
Point de contrôle : antivirus pour ordinateurs de bureau
Exigence : services de pare-feu centralisés
Point de contrôle : services de pare-feu centralisés
Exigence : services de mise en réseau de base gérés en interne (DNS, DHCP, WINS)
Point de contrôle : services de mise en réseau de base gérés en interne (DNS, DHCP, WINS)
Exigence : analyse de la disponibilité des serveurs critiques
Point de contrôle : analyse de la disponibilité des serveurs critiques
Présentation
La sécurité et mise en réseau est la troisième capacité associée à l'optimisation d'infrastructure. Le tableau suivant dresse la liste des principaux enjeux, des solutions applicables et des avantages liés à l'accession au niveau standardisé de la capacité Sécurité et mise en réseau.
Enjeux |
Solutions |
Avantages |
|---|---|---|
Enjeux métier Absence de normes de sécurité de base pour la protection contre les logiciels malveillants et les attaques. Gestion incorrecte des mises à jour antivirus, ce qui accroît les risques d'attaque. Réactivité de l'assistance, essentiellement occupée à gérer les problèmes de sécurité. Enjeux informatiques Les informaticiens procèdent à des mises à jour manuelles et déploient les correctifs sur chaque ordinateur. Les pannes de serveurs intermittentes et imprévisibles occasionnent des pannes au niveau des services réseau, ce qui fait baisser la productivité des utilisateurs finaux. Les administrateurs réseau gèrent individuellement chaque adresse IP pour éviter les doublons et appliquent manuellement les changements de configuration aux postes de travail. |
Projets Déployer un pare-feu avec une configuration de verrouillage (peut-être une solution de pare-feu multiniveau). Implémenter des services de mise en réseau, par exemple, un serveur DNS pour faciliter la recherche et l'accès aux services réseau, et un serveur DHCP pour une gestion automatique et centralisée des adresses IP. Implémenter une solution antivirus gérée et standardisée pour les ordinateurs de bureau. |
Avantages métier La mise en place de normes de stratégies favorise la cohérence d'un environnement informatique. L'amélioration de la sécurité des ordinateurs de bureau passe par la diffusion rapide et fiable de correctifs pour les vulnérabilités ciblées. Avantages informatiques La gestion centralisée des correctifs favorise la stabilité et la sécurité de l'infrastructure. Une configuration réseau TCP/IP efficace et fiable contribue à éviter les conflits d'adresses IP et permet le suivi des adresses IP utilisées via une gestion centralisée de l'allocation d'adresses. Un environnement contrôlé et robuste qui peut résister aux attaques grâce à différentes « couches » de sécurité aux niveaux périmètre, serveur, ordinateur et application. La moindre complexité des opérations matérielles et logicielles signifie des processus de gestion des changements plus transparents. |
Le niveau standardisé du modèle d'organisation d'infrastructure porte sur les éléments clés des composantes réseau et sécurité, à savoir :
les antivirus pour ordinateurs de bureau ;
les services de pare-feu centralisés ;
les services de mise en réseau de base gérés en interne (DNS, DHCP, WINS) ;
l'analyse de la disponibilité des serveurs critiques.
Le niveau standardisé d'optimisation exige que votre organisation ait installé un logiciel antivirus standard sur les clients et qu'elle dispose d'un pare-feu de périmètre centralisé, de services de mise en réseau de base et d'un système d'analyse de la disponibilité des serveurs critiques.
Exigence : antivirus pour ordinateurs de bureau
Public visé
Nous vous recommandons de lire cette section si vous ne disposez pas d'un logiciel antivirus avec mise à jour automatisée des signatures sur au moins 80 % de vos ordinateurs de bureau.
Vue d'ensemble
Chaque organisation doit élaborer une solution antivirus qui soit en mesure d'offrir une protection de haut niveau à ses ressources réseau et technologiques. Cela dit, nombreux sont les réseaux qui continuent d'être infectés même après l'installation d'un antivirus. Cette section fournit des informations sur la façon de traiter avec succès le problème des logiciels malveillants.
Phase 1 : analyse
Pour votre entreprise, la phase d'analyse consiste à faire l'inventaire des ordinateurs de bureau gérés et de déterminer leurs caractéristiques techniques, leur système d'exploitation et leurs applications et s'ils sont équipés d'un antivirus ou de tout autre logiciel de détection de programmes malveillants. Nous vous recommandons d'utiliser un outil permettant d'automatiser le processus d'inventaire, tels que Systems Management Server (SMS) 2003, les outils d'analyse de compatibilité des applications ou Windows Vista Hardware Assessment.
Phase 2 : identification
Dans le cadre de l'élaboration d'une stratégie antivirus, la phase d'identification vise à définir les besoins de votre organisation en matière de sécurité. Les produits antivirus varient d'un fabricant à un autre et offrent différents niveaux de protection et de couverture face aux menaces non virales. À partir des informations recueillies lors de la phase d'analyse, votre organisation pourra déterminer les exigences de compatibilité des antivirus et identifier la solution qui lui convient le mieux.
Phase 3 : évaluation et planification
Concernant la mise en place de la sécurité d'un réseau, Microsoft recommande d'adopter une approche de défense « en profondeur » pour l'élaboration d'une solution antivirus afin de garantir la fiabilité continue des mesures de protection choisies par votre entreprise.
Une approche de ce type se révèle cruciale pour la sécurité informatique de votre entreprise car, un jour ou l'autre, quelqu'un tentera inévitablement de déceler une faille dans vos systèmes dans un but malveillant, indépendamment du nombre de fonctionnalités ou de services utiles dont disposent vos systèmes.
Niveaux de protection
La figure suivante représente les différents niveaux vulnérables à une attaque de logiciel malveillant dans une organisation.
.gif "image007.gif")
Cette section du guide s'intéresse aux niveaux hôte, application et données du plan antivirus, en particulier pour les ordinateurs de bureau clients de l'organisation. Les autres niveaux sont traités dans les autres documents de cette série.
Protection du client
Lorsqu'un logiciel malveillant atteint un ordinateur hôte, les systèmes de défense doivent se concentrer sur la protection du système hôte et de ses données ainsi que sur le moyen d'empêcher l'infection de se propager. Ces défenses sont tout aussi importantes que les défenses des couches physique et réseau de votre environnement. Vous devez concevoir vos défenses hôte en vous basant sur l'hypothèse que le logiciel malveillant est parvenu à traverser toutes les couches de défense précédentes. Cette approche constitue le meilleur moyen d'obtenir un niveau de protection optimal.
Phase 4 : déploiement
La phase de déploiement consiste à implémenter différentes approches et technologies pour assurer une protection antivirus des clients. Les sections qui suivent détaillent les recommandations de Microsoft dans ce domaine.
Étape 1 : réduire la surface d'attaque
La première ligne de défense au niveau de la couche application consiste à réduire la surface d'attaque de l'ordinateur. Tous les services ou applications inutilisés doivent être supprimés de l'ordinateur ou désactivés afin de minimiser les possibilités pour un pirate d'exploiter le système.
Étape 2 : appliquer des mises à jour de sécurité
Le nombre et le type de postes clients connectés aux réseaux d'une entreprise étant extrêmement variable, la tâche qui consiste à offrir un service de gestion des mises à jour de sécurité à la fois fiable et performant peut se révéler ardue. Microsoft et d'autres éditeurs de logiciels ont conçu différents outils qui vous permettront de résoudre ce problème. Pour obtenir des informations plus détaillées sur la distribution de correctifs de système d'exploitation, reportez-vous à la section Exigence : distribution automatisée des correctifs aux ordinateurs de bureau et portables de ce guide.
Étape 3 : activer un pare-feu pour hôte
Le pare-feu pour hôte ou pare-feu personnel constitue un niveau important de la défense client qu'il convient d'activer, notamment sur les ordinateurs portables susceptibles d'être sortis de l'entreprise et donc déconnectés des défenses des couches physique et réseau. Ces pare-feu filtrent toutes les données qui tentent d'entrer sur un ordinateur hôte spécifique ou d'en sortir.
Étape 4 : installer un logiciel antivirus
Il existe sur le marché plusieurs solutions antivirus, chacune ayant pour objectif de protéger l'ordinateur hôte avec un minimum de désagréments et d'interaction pour les utilisateurs finaux. La plupart de ces applications assurent une protection de plus en plus efficace, mais nécessitent toutes de fréquentes mises à jour pour parvenir à contrer les nouveaux logiciels malveillants. Une solution antivirus doit intégrer un mécanisme rapide et transparent pour vérifier que les mises à jour des fichiers de signature requis sont fournis à l'ordinateur client le plus rapidement possible. Ces fichiers, qui sont régulièrement mis à jour par les éditeurs d'applications antivirus, contiennent des informations utilisées par les programmes antivirus pour détecter et traiter les logiciels malveillants lors d'une analyse.
Notez, toutefois, que ces types de mises à jour présentent leurs propres risques pour la sécurité car les fichiers de signature sont envoyés à l'application hôte par le site du support technique de l'application antivirus (généralement par l'intermédiaire d'Internet). Par exemple, si le mécanisme de transfert utilisé pour obtenir le fichier est un service FTP (File Transfer Protocol), les pare-feu de périmètre de l'organisation doivent autoriser ce type d'accès au serveur FTP en question sur Internet. Vérifiez que votre processus d'évaluation des risques liés à l'application antivirus prend en compte le mécanisme de mise à jour de votre entreprise et que ce processus est suffisamment sécurisé pour répondre aux exigences de sécurité de l'entreprise.
Étape 5 : tester l'environnement avec des outils d'analyse des vulnérabilités
Après avoir configuré un système ou un réseau, vous devez le contrôler régulièrement pour vous assurer qu'il ne présente aucune faille de sécurité. Pour vous aider dans ce processus, divers outils d'analyse vous permettent de rechercher les éventuelles faiblesses susceptibles d'être exploitées par des logiciels malveillants ou des pirates. Les plus élaborés de ces outils mettent à jour leurs propres routines d'analyse pour protéger votre système contre les toutes dernières failles.
Opérations
Comme la plupart des logiciels, les applications antivirus ont besoin d'un mécanisme pour autoriser les mises à jour continues. La section Distribution automatisée des correctifs située plus haut dans ce guide décrit en détail les exigences du processus et les outils permettant d'automatiser les mises à jour logicielles. Par ailleurs, votre organisation doit, de préférence, exiger que le logiciel antivirus choisi fonctionne en permanence. Le Guide des ressources d'optimisation d'infrastructure pour les responsables de l'implémentation - du niveau standardisé au niveau rationalisé explique comment forcer l'exécution permanente du logiciel antivirus au moyen d'une stratégie de groupe.
Logiciels antivirus suggérés
Microsoft a testé et vérifié la compatibilité des produits logiciels suivants avec les systèmes d'exploitation Microsoft :
Microsoft Forefront Client Security
de Microsoft CorporationCA Anti-Virus 2007 (anciennement eTrust)
de CA, Inc.Symantec AntiVirus Corporate Edition
de Symantec CorporationNorton AntiVirus 2006
de Symantec CorporationRising Antivirus Software Personal Edition
de Beijing Rising Technology Co., Ltd.
Informations complémentaires
Pour plus d'informations sur l'implémentation de logiciels antivirus, consultez le Guide de défense antivirus renforcée.
Pour savoir comment Microsoft aborde la question des antivirus, rendez-vous à l'adresse : https://www.microsoft.com/technet/itshowcase/content/msghygiene.mspx.
Point de contrôle : antivirus pour ordinateurs de bureau
|
Exigences |
|---|---|
Toutes les mises à jour de sécurité pour les logiciels comme pour les systèmes d'exploitation ont été installées. |
|
|
Les pare-feu disponibles basés sur l'hôte ont été activés. |
|
Un antivirus a été installé sur au moins 80 % de vos ordinateurs de bureau. |
.gif)
Si vous avez exécuté les étapes précédentes, votre organisation répond à la condition minimale du niveau standardisé de l'exigence Antivirus pour ordinateurs de bureau. Nous vous recommandons de suivre les meilleures pratiques en matière de protection antivirus sur le Centre de sécurité Microsoft TechNet.
Passez à la question d'auto-évaluation suivante.
Exigence : services de pare-feu centralisés
Public visé
Nous vous recommandons de lire cette section si vous ne disposez pas d'un pare-feu centralisé (sur un serveur et non pas sur chaque ordinateur de bureau) protégeant au moins 80 % de votre système.
Vue d'ensemble
Les pare-feu jouent un rôle clé dans la sécurité et la protection continues des ordinateurs mis en réseau. Tous les ordinateurs ont besoin de la protection d'un pare-feu, qu'il s'agisse d'un ordinateur appartenant au réseau d'une multinationale comptant plusieurs milliers de serveurs et d'ordinateurs, de l'ordinateur portable d'un commercial itinérant se connectant au réseau sans fil d'une borne Internet ou du nouveau PC de votre grand-mère qui est relié à Internet par une ligne commutée.
Cette section du guide s'intéresse à la fois aux pare-feu réseau et aux pare-feu sur hôte local (également appelés pare-feu personnels). Bien que les particuliers n'utilisent généralement que des pare-feu sur hôte local, les failles de sécurité récentes soulignent l'importance de recourir aux deux types de pare-feu combinés. Le niveau d'optimisation standardisé du modèle d'optimisation d'infrastructure n'exige pas l'utilisation de pare-feu sur l'hôte ; ceux-ci seront présentés ultérieurement dans le modèle. Ce guide décrit les cinq principales classes de technologie de pare-feu.
Les conseils suivants s'appuient sur les guides d'implémentation des services de pare-feu de Windows Server System Reference Architecture (WSSRA).
Phase 1 : analyse
Dans le cadre de l'implémentation d'une stratégie de pare-feu, la phase d'analyse vise à répondre aux besoins de l'entreprise en matière de sécurisation des données et de l'accès aux banques de données, et vise à identifier l'infrastructure de pare-feu disponible, le cas échéant. Chaque organisation détient des données confidentielles dont le détournement peut lui être préjudiciable. Les risques et les conséquences de tels dommages augmentent si l'organisation utilise activement Internet pour héberger des applications et des services tels que les suivants :
collecte et recherche d'informations générales ;
accès à des données boursières ;
offre de services en ligne de vente au détail ;
communications par courrier électronique ;
réseaux privés virtuels (VPN) pour télétravailleurs ;
connectivité VPN de sites distants ;
communications vocales.
Même pour fournir le service le plus courant, comme la messagerie électronique, les organisations doivent connecter leurs systèmes internes à Internet. Ces systèmes deviennent alors accessibles aux sources externes et, par voie de conséquence, vulnérables aux attaques. Les organisations sont également soumises aux coûts liés à ces connexions, notamment aux frais d'abonnement du fournisseur d'accès Internet (FAI) et aux investissements technologiques destinés à assurer la protection de leurs systèmes informatiques.
Il ne fait aucun doute qu'il est important d'empêcher les attaques des systèmes informatiques, d'engager des poursuites judiciaires à l'encontre des pirates informatiques et d'être aussi bien informé que possible sur les risques associés aux différents types d'attaques.
Phase 2 : identification
La phase d'identification vise à explorer la technologie disponible pour protéger les données de votre organisation et à vous aider à évaluer les options de pare-feu et à entreprendre la planification de l'implémentation d'une technologie de pare-feu.
Types de pare-feu
Il existe deux types principaux de pare-feu : les pare-feu réseau et les pare-feu sur hôte (personnels). Les pare-feu réseau, tels que le pare-feu logiciel Microsoft® Internet Security and Acceleration Server (ISA Server) ou les systèmes de pare-feu matériels commutés, protègent le périmètre d'un réseau en contrôlant le trafic entrant et sortant du réseau. Un pare-feu sur hôte permet de protéger un ordinateur individuel quel que soit le réseau auquel il est connecté. Vous pouvez avoir besoin de l'un ou de l'autre, mais la plupart des organisations exigent une combinaison des deux pour répondre à leurs besoins en matière de sécurité.
Les pare-feu peuvent être subdivisés en cinq catégories :
Catégorie 1 – Pare-feu personnel. Il s'agit de pare-feu logiciels sur hôte qui protègent un seul ordinateur.
Catégorie 2 – Pare-feu routeur.
Catégorie 3 – Pare-feu matériel de base.
Catégorie 4 – Pare-feu matériel haut de gamme.
Catégorie 5 – Pare-feu de serveur haut de gamme.
Pare-feu réseau – catégories 2 à 5
Un pare-feu réseau protège un réseau entier en exerçant la surveillance au périmètre de celui-ci. Il transfère le trafic à destination et en provenance des ordinateurs d'un réseau interne et filtre ce trafic en fonction des critères définis par l'administrateur.
Les pare-feu réseau peuvent être soit matériels soit logiciels. Les pare-feu réseau matériels sont généralement plus abordables que les pare-feu réseau logiciels et s'avèrent particulièrement adaptés aux utilisateurs particuliers et à bon nombre de petites entreprises. Les pare-feu réseau logiciels peuvent satisfaire aux organisations de taille supérieure car ils disposent souvent d'un ensemble de fonctionnalités plus étoffé que les pare-feu matériels. Par ailleurs, les pare-feu logiciels peuvent s'exécuter sur un serveur hébergeant d'autres services, tels que la messagerie électronique et le partage de fichiers, ce qui permet aux petites organisations de mieux exploiter les serveurs existants.
Au moment de réfléchir à la mise en place d'une connectivité réseau sécurisée, les administrateurs doivent prendre en considération les éléments suivants :
sécurité,
complexité de gestion,
coût.
En répondant à ces enjeux de sécurité primordiaux, les organisations peuvent améliorer la productivité des employés, diminuer les coûts et améliorer l'intégration opérationnelle.
Fonctionnalités du pare-feu
Selon les fonctionnalités prises en charge, le pare-feu autorise ou bloque le trafic selon les cas, en utilisant diverses techniques. Ces techniques offrent différents niveaux de protection qui dépendent des capacités du pare-feu. Les fonctionnalités de pare-feu ci-dessous, énumérées dans l'ordre croissant de complexité, sont expliquées dans les sections suivantes :
filtrage des entrées de la carte réseau ;
filtrage statique de paquets ;
traduction d’adresses réseau (NAT) ;
inspection dynamique ;
analyse des circuits ;
proxy ;
filtrage de la couche application.
Filtrage des entrées de la carte réseau
Le filtrage des entrées de la carte réseau examine les adresses sources ou cibles et les autres informations contenues dans le paquet, qui est soit bloqué, soit autorisé à pénétrer sur le réseau. Ce filtrage ne s'applique qu'au trafic entrant.
Filtrage statique de paquets
Le filtrage statique de paquets compare les en-têtes IP pour déterminer si le trafic doit être autorisé ou non à transiter par l'interface. Ce filtrage s'applique à la fois au trafic entrant et au trafic sortant.
Traduction d’adresses réseau (NAT)
La traduction d'adresses réseau convertit une adresse privée en adresse Internet. Bien que la technologie NAT ne constitue pas à proprement parler une technologie de pare-feu, la dissimulation de l’adresse IP réelle d’un serveur empêche les agresseurs d’obtenir des informations précieuses sur le serveur.
Inspection dynamique
Avec l'inspection dynamique, l'ensemble du trafic sortant est consigné dans une table d'état. Lorsque le trafic de connexion retourne à l'interface, la table d'état est consultée pour vérifier que le trafic est bien issu de cette interface.
Analyse des circuits
Le filtrage au niveau des circuits permet d'inspecter les sessions, par opposition aux connexions ou aux paquets.
Proxy
Un pare-feu proxy recueille des informations pour le compte du client et renvoie à ce dernier les données qu'il reçoit du service.
Filtrage de la couche application
Le niveau le plus perfectionné pour l'inspection de trafic du pare-feu est le filtrage au niveau de l'application. Moyennant des filtres d'application efficaces, vous pouvez analyser le flux de données d'une application déterminée et bénéficier d'un traitement spécifique à l'application.
En règle générale, les pare-feu qui offrent des fonctionnalités complexes prennent également en charge les fonctionnalités plus simples. Toutefois, veillez à lire attentivement les informations de l'éditeur au moment de choisir un pare-feu, car il peut exister un léger décalage entre les aptitudes sous-entendues et les aptitudes réelles du pare-feu. Le choix d'un pare-feu implique généralement d'examiner attentivement ses fonctionnalités et de tester le produit pour s'assurer qu'il présente bien les caractéristiques annoncées.
Phase 3 : évaluation et planification
Lors de la phase d'évaluation et de planification, votre organisation doit avoir pour objectif de définir la stratégie du service de pare-feu. Cette stratégie prend en considération trois éléments principaux de la conception d'un pare-feu :
Conception de pare-feu de périmètre : solution de pare-feu destinée à protéger l'infrastructure de l'entreprise contre le trafic réseau non sécurisé en provenance d'Internet.
Conception d’un pare-feu interne : deuxième délimitation de pare-feu destinée à protéger le trafic entre des éléments de réseau partiellement approuvés et des éléments internes approuvés.
Conception proxy : la solution proxy offre un mécanisme destiné à sécuriser et à gérer les communications sortantes pour les hôtes de réseaux internes.
Chacune de ces solutions technologiques doit répondre à des objectifs de niveau de service précis, en plus des objectifs de conception, tels que la disponibilité, la sécurité et l'évolutivité.
Phase 4 : déploiement
La phase de déploiement a pour objectif d'implémenter la stratégie choisie et testée par votre organisation lors de la phase d'évaluation et de planification. Les routines de déploiement varieront en fonction des catégories de pare-feu choisies. Pour plus d'informations sur l'installation de la technologie de pare-feu logicielle ISA Server 2006 Enterprise Edition, consultez le Guide d'installation d'ISA Server 2006 Enterprise Edition.
Opérations
Les éléments opérationnels à prendre en compte pour les services de pare-feu sont les suivants : gestion de la sécurité réseau, protection du réseau, détection des intrusions, réaction et implémentation d'exigences opérationnelles standardisées. Pour plus d'informations sur les tâches opérationnelles d'ISA Server 2006 (telles que l'administration, l'analyse, les performances et la résolution des problèmes) destinées à assurer un haut niveau de qualité des services de ce produit, consultez la page relative aux opérations Microsoft ISA Server 2006 sur Microsoft TechNet (cette page peut être en anglais).
Informations complémentaires
Pour plus d'informations sur les pare-feu, accédez à Microsoft TechNet et lancez une recherche sur « pare-feu ».
Pour savoir comment Microsoft gère les pare-feu et les autres risques de sécurité, rendez-vous à l'adresse : https://www.microsoft.com/technet/itshowcase/content/securitywebapps.mspx.
Point de contrôle : services de pare-feu centralisés
|
Exigences |
|---|---|
Un pare-feu matériel ou logiciel centralisé a été installé. |
Si vous avez exécuté l'étape précédente, votre organisation répond à la condition minimale du niveau standardisé de l'exigence Services de pare-feu centralisés.
Nous vous recommandons de suivre les meilleures pratiques en matière de pare-feu abordées dans les guides de mise en œuvre de services de pare-feu de Windows Server System Reference Architecture (WSSRA).
Passez à la question d'auto-évaluation suivante.
Exigence : services de mise en réseau de base gérés en interne (DNS, DHCP, WINS)
Public visé
Nous vous recommandons de lire cette section si vous ne disposez pas de serveurs internes pour les services de mise en réseau de base.
Vue d'ensemble
Les réseaux informatiques des organisations d'aujourd'hui comptent une multitude de périphériques informatiques, depuis les serveurs haut de gamme jusqu'aux ordinateurs personnels, qui doivent communiquer entre eux sur le réseau local. Pour cela, chaque périphérique doit posséder une identité exprimée sous la forme d'un nom de périphérique logique (choisi par l'organisation) ou d'une adresse identifiant de façon unique le périphérique et son emplacement sur le réseau.
Dans le cas des réseaux de petite taille (comptant au maximum 500 périphériques), il est possible de gérer et de distribuer les noms et les adresses manuellement. Or, à mesure que les réseaux se développent et deviennent plus complexes, la maintenance d'un service de résolution de noms efficace devient de plus en plus fastidieuse et gourmande en ressources.
DNS, DHCP et WINS sont trois mécanismes essentiels de la mise à disposition de services d'allocation et de gestion d'adresses IP dans les environnements d'entreprise. Même s'il existe des mécanismes alternatifs, DNS et DHCP constituent la plupart du temps l'épine dorsale des services réseau, tandis que WINS remplit les conditions de colocation des modèles d'adressage DNS et NetBIOS.
Les conseils suivants sont basés sur le document Windows Server System Reference Architecture : introduction aux services réseau (la page est peut-être en anglais).
Phase 1 : analyse
La phase d'analyse relative aux services de mise en réseau de base vise à définir les besoins de l'entreprise en matière de résolution de noms et à identifier l'infrastructure qui est actuellement en place, le cas échéant. Face à l'adoption généralisée de services d'annuaire qui offrent un accès simplifié aux ressources de l'entreprise, la résolution de noms est devenue à présent un service réseau clé. Les services d'annuaire ont besoin d'un système de résolution de noms fiable et efficace pour permettre aux utilisateurs, aux systèmes d'exploitation clients et aux serveurs de localiser les ressources avec des noms plutôt que des adresses. Ces fonctions doivent être exécutées sans porter atteinte à la sécurité du réseau ou aux services qu'il fournit.
Phase 2 : identification
Après avoir analysé les besoins de votre organisation en matière de résolution de noms, vous devez commencer à identifier les technologies qui correspondent à vos exigences.
Domain Name System (DNS)
L'objectif premier du système DNS est de traduire des noms d'hôte intelligibles par l'utilisateur en adresses IP. Parmi ses nombreuses autres fonctions, DNS résout également les adresses de messagerie pour localiser le serveur d'échange de courrier correspondant du destinataire.
Dynamic Host Configuration Protocol (DHCP)
DHCP est un protocole qui permet à un ordinateur, à un routeur ou à tout autre périphérique réseau de demander et d'obtenir une adresse IP unique ainsi que d'autres paramètres (tels qu'un masque de sous-réseau) auprès d'un serveur qui détient la liste des adresses IP disponibles pour un réseau.
Windows Internet Naming Service (WINS)
Le service WINS (Windows Internet Naming Service) est un service de résolution de noms NetBIOS qui permet aux ordinateurs clients d'inscrire leurs noms NetBIOS et leurs adresses IP dans une base de données dynamique distribuée et de résoudre les noms NetBIOS des ressources réseau en adresses IP.
WINS et DNS sont tous deux des services de résolution de noms pour réseaux TCP/IP. Si WINS résout les noms dans l'espace de noms NetBIOS, DNS résout les noms dans l'espace de noms de domaine DNS. WINS prend essentiellement en charge les clients qui exécutent des versions antérieures de Windows et des applications utilisant NetBIOS. Microsoft Windows 2000, Microsoft Windows XP et Windows Server 2003 utilisent des noms DNS en plus des noms NetBIOS. Les environnements composés de certains ordinateurs utilisant des noms NetBIOS et d'autres ordinateurs utilisant des noms de domaine doivent comporter à la fois des serveurs WINS et des serveurs DNS. Si l'ensemble des ordinateurs de vos réseaux exécutent Windows 2000 et des systèmes d'exploitation plus récents, utilisez Active Directory à la place de WINS.
Phase 3 : évaluation et planification
Après avoir identifié les besoins de votre organisation en matière de résolution de noms et les services réseau nécessaires à leur mise en œuvre, il importe d'évaluer la technologie proposée et la façon dont elle contribuera aux objectifs de votre organisation.
Serveur DNS interne
En règle générale, le service DNS de Windows Server 2003 est déployé en soutien du service d'annuaire Active Directory. Dans cet environnement, les espaces de noms DNS reflètent les forêts et les domaines Active Directory utilisés par une organisation. Les hôtes et services réseau sont configurés avec des noms DNS pour faciliter leur localisation dans le réseau. De même, ils sont configurés avec des serveurs DNS chargés de résoudre les noms de contrôleurs de domaine Active Directory. Le service DNS Windows Server 2003 est aussi communément déployé en tant que solution DNS non Active Directory ou standard pour représenter une organisation sur Internet, par exemple.
Par la mise en place de serveurs DNS internes, vous bénéficiez d'une résolution de noms de domaines internes et externes plus souple et plus facile à contrôler. Cela a pour effet de réduire le trafic intranet et Internet. La figure suivante illustre la façon dont des zones intégrées à Active Directory et des zones secondaires basée sur des fichiers peuvent être déployées ensemble pour fournir des services DNS d'entreprise.
.jpg)
Serveur DHCP interne
Dans Windows Server 2003, le service DHCP offre les avantages suivants :
Configuration d'adresses IP fiable. Le service DHCP limite les erreurs de configuration occasionnées par la configuration manuelle d'adresses IP, telles que des erreurs typographiques, ou les conflits d'adresses dus à l'affectation d'une adresse IP à plus d'un ordinateur à la fois.
Administration réseau réduite. Le service DHCP permet de réduire l'administration réseau grâce aux caractéristiques suivantes :
Configuration TCP/IP centralisée et automatisée.
Possibilité d'affecter une plage entière de valeurs de configuration TCP/IP supplémentaires grâce aux options DHCP.
Gestion efficace des changements d'adresse IP pour les clients qui doivent être mis à jour régulièrement, comme les ordinateurs portables qui sont déplacés à différents endroits sur un réseau sans fil.
Transfert des messages DHCP initiaux à l'aide d'un agent de relais DHCP, ce qui évite d'avoir recours à un serveur DHCP sur chaque sous-réseau.
WINS et ressources internes
Les composants de Windows Server 2003 qui nécessitent une résolution de noms tentent d'utiliser le serveur DNS avant le service de résolution de noms Windows par défaut précédent : WINS. Si votre organisation dispose d'ordinateurs qui exécutent des systèmes d'exploitation antérieurs à Windows 2000, vous devrez implémenter WINS pour ces systèmes. Avec la transition du niveau de base du modèle d'optimisation d'infrastructure au niveau standardisé, vous consoliderez votre environnement informatique en n'exécutant tout au plus que deux systèmes d'exploitation. Vous remplacerez les anciens systèmes et procèderez à une standardisation sur la base de systèmes d'exploitation plus récents, ce qui vous évitera de recourir au service WINS dans votre organisation.
Phase 4 : déploiement
La phase de déploiement a pour objectif d'implémenter les technologies choisies pour activer les services de mise en réseau de base nécessaires à la résolution de noms. Si nécessaire, suivez les conseils de déploiement de services réseau du guide de déploiement de Windows Server 2003 pour en savoir plus sur la façon de déployer les services DNS et DHCP.
Informations complémentaires
Pour plus d'informations sur le service DNS, rendez-vous à l'adresse : http://technet2.microsoft.com/WindowsServer/f/?en/library/54375efb-2192-49b7-a823-57c08c6cc06c1033.mspx.
Pour plus d'informations sur le service DHCP, rendez-vous à l'adresse : http://technet2,.microsoft.com/WindowsServer/f/?en/library/85add012-1c2c-41bb-b1ae-11bc07485ee31033.mspx.
Pour plus d'informations sur le service WINS, rendez-vous à l'adresse : http://technet2,.microsoft.com/WindowsServer/f/?en/library/0bef84d9-dafe-4fa8-9e70-fb4f56f1af971033.mspx.
Point de contrôle : services de mise en réseau de base gérés en interne (DNS, DHCP, WINS)
|
Exigences |
|---|---|
Les services DNS ont été implémentés sur les serveurs ou autres périphériques de votre organisation. |
|
|
Les services DHCP ont été implémentés sur les serveurs ou autres périphériques de votre organisation. |
|
Les services WINS ont été implémentés pour les systèmes d'exploitation plus anciens équipant les serveurs ou autres périphériques de votre organisation. |
Si vous avez exécuté l'étape précédente, votre organisation répond à la condition minimale du niveau standardisé de l'exigence Services de mise en réseau de base gérés en interne (DNS, DHCP, WINS).
Nous vous recommandons de suivre les meilleures pratiques en matière de pare-feu abordées dans les guides de mise en œuvre de services réseau de Windows Server System Reference Architecture (WSSRA).
Passez à la question d'auto-évaluation suivante.
Exigence : analyse de la disponibilité des serveurs critiques
Public visé
Nous vous recommandons de lire cette section si vous n'analysez pas au moins 80 % de vos serveurs critiques.
Vue d'ensemble
L'efficacité et la productivité de l'infrastructure informatique de votre organisation dépendent de la disponibilité permanente des serveurs critiques (DNS, DHCP, serveurs de fichiers, d'impression et de messagerie). Vous devez mettre en place des stratégies et des procédures afin de surveiller ces serveurs et être rapidement informé des baisses de performances ou des interruptions de service. Il existe des logiciels qui permettent d'automatiser cette analyse et d'alerter les personnes compétentes chargées de prendre des mesures correctives.
Phase 1 : analyse
Dans le cadre de l'exigence Analyse de la disponibilité des serveurs critiques, la phase d'analyse consiste pour votre organisation à faire l'inventaire de tous les serveurs de son infrastructure. Vous pouvez identifier les serveurs et les spécifications manuellement ou utiliser un outil permettant d'automatiser le processus d'inventaire, par exemple, les fonctionnalités de regroupement d'inventaire de Systems Management Server (SMS) 2003.
Phase 2 : identification
Survenant après l'inventaire de tous les serveurs, la phase d'identification vise essentiellement à établir une priorité parmi les serveurs et à classer ceux dont l'importance est suffisante pour nécessiter une analyse de la disponibilité. Les serveurs doivent être hiérarchisés en fonction de leur incidence sur l'activité ou les opérations en cas d'indisponibilité. Par exemple, un service de messagerie peut être la dorsale de communication de votre entreprise ; dans ce cas, votre analyse doit s'étendre non seulement au serveur de messagerie, mais également aux contrôleurs de domaine et aux autres serveurs nécessaires au service.
Phase 3 : évaluation et planification
La phase d'évaluation et de planification consiste à examiner les besoins en matière d'analyse de disponibilité des serveurs chargés d'assurer les services considérés comme critiques. Au cours de cette phase, vous évaluez les options technologiques, décidez de la solution à implémenter, testez et planifiez le déploiement.
Avant de procéder à l'évaluation d'une solution technologique, vous devez identifier les points à analyser et définir un modèle d'intégrité à partir des données recueillies. Le modèle d'intégrité définit les facteurs d'intégrité d'un système ou d'un service (c'est-à-dire son fonctionnement dans des conditions normales) et les facteurs d'échec ou de dégradation des performances, ainsi que les transitions entre les états d'intégrité. Il est nécessaire de disposer d'informations adéquates sur l'intégrité des systèmes en cours d'exécution pour assurer leur maintenance et leur diagnostic. Pour plus d'informations, consultez Microsoft Operations Framework : analyse et contrôle du service.
Gestion de la disponibilité
La gestion de la disponibilité porte sur la conception, l'implémentation, la mesure et la gestion de la disponibilité de l'infrastructure informatique et vise à s'assurer que les exigences déclarées de l'entreprise en matière de disponibilité sont uniformément satisfaites. La gestion de la disponibilité peut être appliquée aux services informatiques définis comme des fonctions opérationnelles critiques, même s'il n'existe pas de contrat de niveau de service, comme c'est souvent le cas au niveau d'optimisation standardisé. Pour plus d'informations, consultez Microsoft Operations Framework : gestion de la disponibilité.
Logiciel de surveillance
Cette section décrit l'utilisation de logiciels dans le cadre de l'analyse de la disponibilité des serveurs critiques. Dans cet exemple, le rôle d'analyse est dévolu à Microsoft® Operations Manager (MOM). Les logiciels chargés d'analyser la disponibilité des serveurs doivent disposer des fonctionnalités suivantes :
aptitude à recueillir des informations sur les attributs des serveurs et à appliquer des règles spécifiques pour les analyser, en fonction de ces attributs ;
aptitude à obtenir des données des journaux d'événements et d'autres fournisseurs, tel que le définissent des règles spécifiques ;
aptitude à recueillir des données de performance basées sur des compteurs de performance ;
aptitude à générer des alertes en fonction de critères spécifiés dans les règles.
Réponse aux événements
Vous pouvez utiliser les données d'analyse pour quantifier, évaluer et maintenir un service informatique de haut niveau. Ce niveau de service repose sur les éléments suivants :
Disponibilité : analysez la disponibilité des serveurs en communiquant avec eux pour vous assurer qu'ils fonctionnent.
Performances : analysez les compteurs de performance pour vous assurer que les serveurs fonctionnent selon des paramètres acceptables.
Capacité : surveillez la capacité des disques, ainsi que l'analyse et la planification de la capacité.
Reconnaissance des erreurs : identifiez les erreurs ou les conditions qui affectent les trois aspects de niveaux de service précédents.
Pour plus d'informations sur la définition des objectifs de disponibilité, rendez-vous à l'adresse : https://technet.microsoft.com/en-us/library/a4bb7ca6-5a62-442e-86db-c43b6d7665a4.aspx.
Analyse des données
Lors de l'analyse de serveurs, des données sont générées et stockées dans une base de données. L'analyse produit quatre types de données : des données d'événements, des données de performance, des données d'alerte et des données de découverte.
Données d'événements
Les serveurs gérés consignent les événements dans des journaux d'événements locaux (application, sécurité et système). Par exemple, MOM collecte les informations d'événements à partir de ces journaux. Les données d'événements recueillies peuvent s'avérer utiles pour :
générer des rapports à l'aide du serveur de rapports et de la base de données de rapports ;
fournir le contexte des problèmes détectés (sous la forme d'alertes) ;
fournir des informations sur l'état des ordinateurs, qui est établi à partir des données de corrélation d'événements de consolidation ou d'événements manquants.
Données de performance
Des données de performance numériques sont collectées à partir de sources telles que les compteurs de performance Windows et Windows Management Instrumentation (WMI). Les données de performance recueillies peuvent s'avérer utiles pour :
afficher les données de performance dans la console Opérateur sous différentes formes (formulaires, listes ou graphiques) ;
générer des rapports à l'aide du serveur de rapports et de la base de données de rapports ;
identifier les dépassements de seuil critiques pouvant indiquer des problèmes de performance.
Données d'alerte
Les données d'alerte signalent un problème détecté sur un serveur géré. Les données d'alerte relatives à un problème détecté contiennent les informations suivantes :
le type d'entité concerné par le problème. celui-ci est décrit comme étant un type de découverte de service ;
l'entité concernée par le problème ;
la gravité du problème ;
le nom et la description de l'alerte, l'état du problème, le nombre d'alertes et l'état de résolution.
Les alertes sont des indicateurs qui informent les utilisateurs de l'intégrité des ordinateurs gérés. Elles constituent également la base de l'analyse d'état.
Mise à jour des alertes
Les données d'alerte contenues dans la base de données sont constamment mises à jour à mesure que des informations sur le serveur à l'origine de l'alerte sont collectées. Pour reprendre l'exemple de MOM, lorsqu'un problème est détecté, une alerte est générée. Elle est insérée dans la base de données pour représenter un nouveau problème. Si MOM détermine que le problème a disparu, une autre alerte est générée pour mettre à jour l'état du problème de l'alerte initiale. Enfin, l'état du problème de l'alerte existante est mis à jour dans la base de données, puis marqué comme étant résolu ; toutefois, vous devez quand même accuser réception de l'alerte en la résolvant.
Suppression d'alerte
La suppression d'alerte est le mécanisme qui permet de désigner les alertes à considérer comme des problèmes uniques. Des champs de suppression d'alerte sont définis en même temps que les règles générant l'alerte. Si la suppression d'alerte n'est pas définie, chaque nouvelle alerte générée par le runtime MOM est traitée comme un nouveau problème. Les champs de suppression d'alerte sont utilisés pour spécifier les propriétés d'alerte, dont la valeur doit être identique si deux alertes représentent le même problème.
Données de découverte
Les données de découverte contiennent un instantané des entités découvertes pour une étendue donnée. Contrairement aux autres données d'opérations, les données de découverte ne sont pas directement visibles par l'utilisateur. Elles sont affichées sous forme de diagrammes de topologie, d'attributs d'ordinateur, de liste de services ou de listes d'ordinateurs.
Phase 4 : déploiement
Une fois que vous avez défini les services critiques à analyser, identifié les périphériques nécessaires pour assurer le service, élaboré un modèle d'intégrité et évalué le logiciel d'analyse correspondant aux besoins de votre organisation, vous devez implémenter la solution d'analyse de la disponibilité.
Si votre organisation choisit la technologie Microsoft Operations Manager pour effectuer l'analyse de la disponibilité de vos systèmes, vous pouvez trouver des conseils de déploiement détaillés dans le guide de déploiement de MOM 2005 sur Microsoft TechNet.
Opérations
Les opérations visent à gérer les activités du processus de gestion de la disponibilité des serveurs critiques. Ce processus doit veiller à ce que les services informatiques critiques assurent les niveaux de disponibilité définis pour l'organisation.
Informations complémentaires
Pour plus d'informations sur l'analyse de la disponibilité des serveurs avec MOM, rendez-vous à l'adresse : https://www.microsoft.com/technet/prodtechnol/mom/mom2005/Library/faf19f47-facd-4467-9510-e7c84c671572.mspx?mfr=true.
Pour plus d'informations sur les autres fonctionnalités destinées à optimiser l'analyse de serveurs à l'aide de MOM, consultez le contenu de Solution Accelerator :
Notification Workflow est une application de services de notification basée sur Microsoft® SQL Server™ permettant d'étendre les fonctionnalités de notification de MOM 2005.
Autoticketing fournit des conseils en matière de génération automatisée de tickets, ce qui permet la publication automatisée d'une demande (ou ticket) dans le système Trouble Ticketing (TT) utilisé pour la gestion des incidents.
Alert Tuning Solution permet de réduire le nombre d'alertes lors du déploiement de packs d'administration MOM 2005.
Service Continuity préserve la disponibilité du service MOM 2005.
Multiple Management Group Rollup permet à une entreprise de propager les données de plusieurs groupes d'administration dans un même entrepôt de données dans l'optique de créer des rapports consolidés et synthétisés.
Pour savoir comment Microsoft analyse Exchange Server 2003, rendez-vous à l'adresse : https://www.microsoft.com/technet/itshowcase/content/monittsb.mspx.
Point de contrôle : analyse de la disponibilité des serveurs critiques
|
Exigences |
|---|---|
Un logiciel d'analyse de la disponibilité du type Microsoft Operations Manager (MOM) a été installé. |
|
|
80 % de vos serveurs critiques sont analysés pour suivre les performances, les événements et les alertes. |
Si vous avez exécuté les étapes précédente, votre organisation répond à la condition minimale du niveau standardisé de l'exigence Surveillance de la disponibilité des serveurs critiques.
Nous vous conseillons de suivre les autres meilleures pratiques détaillées au Centre technique Microsoft Operations Manager 2005 sur Microsoft TechNet.
Passez à la question d'auto-évaluation suivante.