Windows Server 2016 : les cinq améliorations essentielles pour la sécurité de vos serveurs
Windows Server 2016 intègre des mises à jour qui affecteront les options d'authentification, les restrictions sur les comptes, la protection Web et bien d'autres éléments.
Lorsque Microsoft commercialise un nouveau système d'exploitation (OS), il faut réfléchir à la nouvelle approche de la sécurité qu'il apporte, et aux failles potentielles qui en découlent. Depuis Windows Server 2008 R2, l’OS serveur conserve sa résilience. Toutefois, en matière de sécurité, Windows 2016 apporte cinq changements qui intéresseront les professionnels, ainsi que les administrateurs Windows Server.
Changements Windows Server 2016 en matière de sécurité
- Microsoft Passport met à disposition une option d'authentification robuste qui s'appuie sur les paires de clés privée et publique dans Azure, une gestion des clés publiques sur site et des puces TPM (Trusted Platform Module) intervenant au niveau des terminaux. En outre, Active Directory Federation Services (ADFS) et Azure Active Directory présentent des améliorations complémentaires qui impliquent le protocole LDAP (Lightweight Directory Access Protocol), des politiques de contrôle des accès et une signature unifiée.
- Une fonction appelée Just Enough Administration (JEA) – outil de PowerShell introduit en 2014 – sera également disponible. Elle donne aux administrateurs la possibilité d'appliquer des restrictions plus granulaires à des tâches spécifiques, ceci afin de parer à des situations de type « Snowden ».
- Windows Server 2016 prend en charge le protocole HTTP/2 via Internet Information Server 10.0. Ce dernier intègre une protection contre le déni de service, ainsi que des fonctions telles que la compression des en-têtes et le contrôle des flux et des tailles de bloc de protocole. Si ces mesures ne suffisent pas à corriger les failles que présente la couche d'applications sous-jacente, telles que l'injection SQL et certains mécanismes d'ouverture de session peu robustes, elles n'en constituent pas moins une étape nécessaire vers une protection Web efficace.
- La fonction Windows Defender est installée et activée en natif, même dans la version sans interface utilisateur graphique de l'OS.
- Le serveur Telnet n'est pas inclus. Microsoft s'est aperçu que les utilisateurs continuent à recourir à un service vulnérable en soi, simplement parce qu'ils le connaissent et qu'il est disponible. Sachant l'importance de Telnet à l'échelle de la majorité des environnements réseau que je dénombre aujourd'hui, je soupçonne que le service et ses failles inhérentes ne sont pas prêts de disparaître. Pour autant, Microsoft joue son rôle en contribuant à corriger les problèmes qui peuvent l'être.
Windows Server 2016 présente, en outre, en termes de résilience, un certain nombre d'avantages hors du cadre de la sécurité. Ceux-ci impliquent des fonctions dédiées à la reprise après désastre, aux machines virtuelles (VM), à la tolérance aux pannes des cartes réseau, et à la qualité de service du stockage dont pratiquement tous les cas d'usage et toutes les entreprises peuvent tirer parti.
Ces fonctions de Windows 2016 ne rendront pas votre environnement réseau plus conforme et plus sûr en soi, mais elles vous aideront indéniablement à atteindre cet objectif.
Vous avez à présent une idée des modifications qu'apporte Windows Server 2016 en matière de sécurité. Vous pouvez commencer à réfléchir à la manière dont vos projets actuels et à venir bénéficieront d'un recours à ces fonctions.
Je n'ai vu que de rares instances de Windows Server 2012 utilisées en entreprise. Peut-être que les stigmates liés à l’UI Metro vont s'effacer et que Windows 2016 sera le prochain succès de Microsoft sur le marché des OS Serveur. Il peut aussi constituer une voie de mise à niveau efficace pour nombre d'installations Windows Server 2003 encore actives.