Dans les entreprises possédant une structure informatique conséquente (ou non, d’ailleurs), l’accès physique aux données et au composants du système d’information fait partie intégrante de la politique de sécurité du même système d’information. Il est plus courant de ne penser qu’à l’aspect technique/logique lorsque l’on parle de sécurité mais on oublie souvent de parler de l’accès et la protection physique des serveurs, éléments d’interconnexions et baies de disques.

Plusieurs facteurs sont à prendre en compte lorsque l’on parle de la sécurité physique. Il faut généralement savoir que la protection des données au niveau physique représente un coût car cela implique l’aménagement d’éléments permettant de se protéger de plusieurs types de menaces, qu’il s’agisse de vols ou de dommages mettant hors service le système d’information :

- Incendie
- Sabotage volontaire
- Sabotage involontaire
- Panne d’électricité
- Inondation
…

Il faut alors penser à mettre en place différentes composantes permettant de protéger le patrimoine informationnel de l’entreprise. En fait, le principe est bien de sécuriser l’accès à ces éléments sensibles de la même façon que l’on pourrait installer une alarme chez soit. Les éléments standards ne sont pas concernés : à la maison on n’investis pas dans une porte de garage pour fermer ce dernier, on prend cela en compte dès le départ. Dans ce cas précis, il n’est pas uniquement question d’ajouter une porte à la salle, cela va bien au delà…

On met par exemple généralement en place des détecteurs de fumées ainsi que des sondes thermiques qui sont généralement intégrées au système de supervision, ceci permettant de voir en temps réel des anomalies ou des variations de chaleurs importantes. On y joint des systèmes incendies qui se déclenchent généralement automatiquement à la détection de fumée (c’est mieux, hein ?). Une fois un incendie détecté, on déclenche immédiatement l’extinction du feu grâce à l’émission d’azote.

Contre les dégâts des eaux, il est nécessaire de ce protéger grâce à un système de détection d’eau dans les faux planchers, et, un drainage et relevage dans les galeries souterraines.

On met également en place des systèmes de contrôle de l’accès physique comme des  murs épais et fait pour résister à des chocs importants. On trouve généralement des portes blindés du même type que celles en place dans les maisons combinées à des digicode, ou, des systèmes à reconnaissance digitale pour l’accès physique à la salle serveur.

L’accès à certains centres de données (datacenter) requiert une très forte sécurité, d’où la présence d’un sas de contrôle d’accès. Ce sas, sous vidéo surveillance et accessible après le passage d’une carte à puce, est généralement un passage à isolement où une seule personne peut traverser le dispositif à la fois. Plusieurs choses seront alors vérifiées avant de valider l’accès : Poids de l’individu, code secret d’identification, seconde validation de la carte à puce, et reconnaissance faciale.

La mise en échec d’une de ces vérifications n’autorisera pas la personne dans le sas à accéder au datacenter puisque la deuxième porte du sas ne s’ouvrira pas.

Le bâtiment en lui-même peut être surveillé par des caméras en extérieur, aussi bien pour le jour que pour la nuit, avec éventuellement un périmètre de sécurité avec chemin de ronde gardé par maîtres-chiens.

Quoi qu’il en soit la sécurité physique doit avoir une importance et une place égale à la sécurité “logicielle” dans la politique de sécurité du système d’information car il s’agit de la première couche d’accès au système d’information.

I. Présentation

Depuis Windows 8.1, l’indice de performance calculé par Windows a disparu. Il permettait de savoir ce que valait la configuration de sa machine en terme de performance grâce à une note attribuée selon différents critères.

Ainsi, plusieurs composants sont notés : Processeur, RAM, graphisme, graphisme en jeu 3D, disque dur. Le score final attribué à votre machine correspond à la note la plus basse que vous avez obtenu sur un des composants.

Le “Windows Experience Index” (WEI) peut être calculé via WinSAT sous Windows 8.1 et affiché via PowerShell, malgré qu’il ne soit plus accessible directement depuis le panneau Système, comme auparavant. Voyons comment procéder.

II. Procédure

Commencez par ouvrir une Invite de commandes en tant qu’Administrateur. Saisissez la commande suivante afin d’exécuter une actualisation de l’indice de performance :

winsat prepop

Patientez 2 – 3 minutes le temps des calculs… On s’appuie sur l’utilisation de WinSAT (Windows System Assessment Tool) et de l’option prepop. Dans le cas où elle ne fonctionnerait pas, utilisez “formal” à la place de “prepop“.

Note : Dans le cas d’un ordinateur portable, branchez-le au secteur si WinSAT refuse d’actualiser l’indice de performance. Relancez la commande ensuite.

Une fois les calculs terminés, ouvrez une console PowerShell sur votre machine (recherchez “Powershell” si nécessaire pour trouver la console). Saisissez cette commande :

Get-WmiObject -class Win32_WinSAT

Différents champs sont intéressants :

• CPUScore : Performance du processeur

• D3DScore : Performance en calcul DirectX (3D)

• DiskScore : Vitesse du disque dur

• GraphicsScore : Performance de la carte graphique

• MemoryScore : Performances de la RAM

• WinSPRLevel : Indice retenu (note “globale”)

D’après les informations fournies sur le MSDN de Microsoft, l’indice de performance varie de 1.0 à 9.9 depuis Windows 8, ce qui doit être le cas pour Windows 8.1 en toute logique.

L’Agence Centrale de Renseignements a décidé de débarquer sur les deux grands réseaux sociaux : Facebook et Twitter.

Pourquoi s’être décidé maintenant à se faire une place sur les réseaux sociaux ? John Bennan explique dans un communiqué, que les réseaux sociaux permettraient à la CIA de communiquer directement avec le public et de fournir de nombreuses informations concernant « sa mission ».

L’agence a prévu de mettre en ligne des images d’objets exposés au sein de son fameux musée. Musée qui est d’ailleurs interdit au public.

Il est également prévu que l’agence parle des diverses carrières possibles au sein de la CIA. Inutile donc, de s’attendre à de grandes révélations fracassantes sur les missions top secrètes de l’agence.

C’est avec un premier tweet controversé que l’agence à fait ses premiers pas dans la twittosphère :

Deux heures après l’ouverture de son compte, la CIA comptabilisait déjà 125 000 abonnés. Un score qui devrait monter en flèche dans les jours à venir.

Slingshot, le fameux concurrent de Snapchat, a malencontreusement vu le jour le lundi 9 juin par « accident ».

Selon une porte-parole de Facebook : « Plus tôt dans la journée, nous avons accidentellement publié une version de Slingshot, une nouvelle application sur laquelle nous travaillons […] »

Facebook a toutefois su réagir rapidement puisque Slingshot a été retiré de l’App Store quelques minutes après l’incident.

Véritable erreur ou coup de pub pour Facebook ? Dans tous les cas, l’application Slingshot semble se faire désirer encore un peu plus parmi les utilisateurs d’iPhone.

Rappelons que Slingshot devrait reprendre les mêmes fonctionnalités que Snapchat à savoir le partage de photos et de vidéos de façon éphémère.

Facebook ajoute cependant un petit plus : pour visualiser un message reçu il faudra à son tour partager un contenu.

Avant de découvrir cette application,  vous devrez patienter encore un peu, puisque Facebook n’a pas donné de date précise concernant la sortie.

I. Présentation

La fonctionnalité de failover DHCP est nouvelle depuis Windows Server 2012, elle permet d’assurer la disponibilité du service DHCP au sein de votre infrastructure. Cela se configure sans passer par un cluster, ce qui rend simplifie le paramétrage et ne nécessite par une expertise technique particulière.

Microsoft estime que le DHCP peut être géré par les équipes réseaux et qu’il fallait donc simplifier la configuration en ce sens, c’est pour cela qu’il est possible d’effectuer la mise en place d’un failover DHCP sans utiliser de cluster.

Pour ma part, j’utilise trois machines virtuelles sous Windows Server 2012 R2, toute membre du domaine it-connect.fr : SRV-AD01 (Contrôleur de domaine), SRV01 (Serveur DHCP) et SRV02 (Serveur DHCP). La configuration du DHCP sera effectuée depuis SRV01 est sera répliquée sur SRV02, grâce à des échanges chiffrés, suite à la configuration du basculement.

II. Le basculement

Le basculement de serveurs DHCP inclus deux modes de fonctionnement :

- Actif/passif : Un serveur actif, un second serveur de secours

- Actif/actif : Les deux serveurs sont actifs et une répartition de charge est effectuée. Les serveurs se répartissent les clients et synchronisent les informations liées aux baux entre eux.

Le tout je vous le rappel, sans mettre en place de cluster.

Concernant les serveurs DHCP eux-mêmes, ils ne doivent pas nécessairement faire partie d’un domaine. Cependant, il est essentiel qu’ils soient synchronisés au niveau du temps via NTP car pour un bon fonctionnement les horloges doivent avoir moins d’une minute d’écart.

III. Installer le rôle DHCP

Suivez ce tutoriel expliquant la procédure d’installation graphique sous Windows Server 2008 R2 (proche de Windows Server 2012 R2) ou sinon procédez à l’installation grâce à PowerShell et Netsh :

- Tutoriel sur l’installation d’un serveur DHCP sous Windows Server 2008 R2
- Tutoriel sur l’installation d’un serveur DHCP sous Windows Server 2012 via PowerShell

Il est à noter qu’avant de pouvoir configurer la fonctionnalité de basculement, vous devez configurer au moins une étendue sur un de vos deux serveurs. Le second serveur quant à lui peut être vierge de configuration.

Pour rappel, la création d’une étendue appelé également scope, s’effectue depuis la console de gestion DHCP en faisant clic droit sur “IPv4” et “Nouvelle étendue…“. Une étendue est un ensemble de paramètres représentant une configuration à distribuer aux clients potentiels.

IV. Configuration du basculement

Passons à la configuration du basculement… Ouvrez la console d’administration DHCP qui se trouve sous “Outils d’administration” > “DHCP“. Ensuite, sous le serveur DHCP qui contient l’étendue à répliquer – pour ma part SRV01 – faites un clic droit puis “Configurer un basculement…“.

La première étape consiste à sélectionner les étendues sur lesquelles le basculement opère, si vous choisissez “Sélectionner tout” le failover sera opérationnel sur tout votre serveur. Si vous décochez, sélectionnez une ou plusieurs étendues selon ce que vous souhaitez.

On indique le serveur partenaire (le peer) avec lequel on souhaite établir un lien afin de créer l’équipe failover. J’indique 192.168.1.204 qui correspond à l’adresse IPv4 de mon serveur SRV02, j’aurais très bien pu m’appuyez sur la résolution NETBIOS ou DNS. Cliquez sur “Suivant”, si vous passez à l’étape suivante avec succès c’est que le serveur DHCP partenaire est trouvé et opérationnel.

La “grosse” partie de la configuration du basculement, c’est maintenant ! Le champ “Nom de la relation” reprend tout simplement le nom des deux serveurs qui entrent dans la relation de failover.

Le champ “Délai de transition maximal du client” appelé généralement “MCLT” (sur un DHCP Unix notamment) correspond au temps pendant lequel on autorise la prolongation du bail du client. Par exemple, si l’on mentionne 30 minutes le client pourra prolonger le bail de 30 minutes en plus du temps définit de base dans l’étendue, notamment en cas de panne du serveur primaire en attendant que le serveur secondaire assume la charge.

Le choix du mode est essentiel puisqu’il définit le mode de fonctionnement des serveurs. Si l’on prend “Équilibrage de charge” on entre dans le mode actif/actif et vous devez indiquer comment se répartie la charge en pourcentage. Par défaut, c’est indiqué 50/50 c’est à dire que chaque serveur gérera 50% de l’étendue. Si l’on opte pour le second choix qui est “Serveur de secours” on passe en mode actif/passif. Les données du serveur primaire sont répliquées sur le secondaire afin qu’il soit en mesure de prendre le relais en cas de panne du primaire. Vous devez indiquer un pourcentage de l’étendue que vous autorisez à être gérée par le serveur relais.

L’option “Intervalle de basculement d’état” permet d’indiquer au bout de combien de temps on considère le partenaire down lorsque l’on est sans réponse.

Enfin, si vous activez l’authentification du message, saisissez un “Secret partagé” complexe qui sera utilisé pour chiffrer les échanges entre les deux serveurs DHCP concernés. Ainsi, les échanges de configuration entre les serveurs ne transiterons pas en clairs sur le réseau.

Cliquez sur “Suivant” une fois la configuration effectuée.

Validez le résumé et vous devriez obtenir une fenêtre qui indique l’état de la configuration du basculement, comme ci-dessous. Veillez à ce que les différents points soient validés.

On remarque que l’étendue est bien répliquée sur le second serveur :

A l’avenir si vous avez nécessité de forcer la réplication des étendues configurées en basculement, sachez que c’est possible. Effectuez un clic droit sur “IPv4” et cliquez sur “Répliquer les étendues de basculement“. Windows vérifiera l’état de la réplication et fera des changements si nécessaire.

Vous pouvez aussi, en faisant un clic droit sur une étendue répliquée, choisir de répliquer l’étendue sélectionner voir même la relation complète entre les deux serveurs grâce aux deux options “Répliquer l’étendue” et “Répliquer la relation“.

La configuration du basculement de serveurs DHCP sous Windows Server 2012 R1 ou R2 est désormais terminée. Vous voilà avec un service DHCP alliant tolérance aux pannes et équilibrage de charge.