Windows Vista -> complément d’informations

Publié le 27 juillet 2008 par Guillaume Mathieu

1 PRESENTATION DE CE DOCUMENT :
1.1 OU TROUVER CE DOCUMENT :
Ce document a été écrit par M. Guillaume MATHIEU. Une version HTML est disponible sur http://msreport.free.fr.
Une version au format PDF (avec des captures d’éctan) peut être téléchargée à l’adresse suivante :
http://msreport.free.fr/articles/WindowsVista.pdf

1.2 OBJECTIFS DE CE DOCUMENT
Ce document a pour but de vous présenter Windows Vista du point de vue de l’’entreprise.
Nous verrons donc dans ce document les avancées de Windows Vista pour le monde de l’entreprise.
Nous verrons dans ce document :
* Comment tester Windows Vista.
* Comment déployer Windows Vista en entreprise.
* Certaines nouveautés de Windows Vista.
* Comment se former rapidement sur Vista.

2 COMMENT TESTER WINDOWS VISTA :
Vous pouvez installer Windows Vista de nombreuses machines physiques pourvu que celles-ci disposent d’au moins 512 Mo de mémoire vive et d’un processeur 800 Mhz et environ 15 Go de libre sur le disque.
Pour pouvoir activer la nouvelle interface AERO, vous devez disposer d’une carte graphique DIRECTX 9.0 qui supporte les PIXEL Shaders 2.0, les drivers WDDM, 32 bits par pixel et disposant d’au minimum 64 Mo de mémoire vidéo
Windows Vista peut être testé sur les plates formes de virtualisation suivante :
* Virtual PC 2007 (en tant que machine hôte et machine invité).
* Vmware 6.0 (en tant que machine hôte et machine invité).
* Vmware ESX 3.5.
* Virtual Server 2005 R2 SP1.
Si vous souhaitez pouvoir monter des maquettes intéressantes (1 serveur 2008 et 1 ou 2 machines Vista), prévoir la configuration suivante pour la machine Virtual PC / Vmware.
* Au moins 2 Go de mémoire vive (512 pour chacun des 3 systèmes) :
* 2 disques durs (un pour le système et un pour les machines virtuelles). Vmware écrit de nombreuses informations sur le disque système même si les machines virtuelles sont sur un second disque dur.
* Afin d’optimiser les performances, penser à activer les instructions d’accélérations de la virtualisation AMD-V ou INTEL-VT. Le gain est d’environ 100%. Par défaut elles sont désactivées. Pour plus d’informations sur IntelVT, voir http://www.intel.com/technology/virtualization/
Remarque :
* Attention, il n’est pas possible d’activer l’interface AERO sur ces machines virtuelles car la carte graphique émulée ne respecte pas les contraintes AERO.
* BITLOCKER n’est pas supporté avec un Vista installé dans une machine virtuelle et ne peut donc pas être testé dans cette configuration.

3 COMMENT DEPLOYER WINDOWS VISTA EN ENTREPRISE :
Windows Vista intègre un nouveau format de d’image d’installation (image WIM) et s’appuie sur Windows PE.
Cette partie consistera à vous présenter les principales nouveautés en termes de déploiement proposée par Windows Vista.

3.1 LE NOUVEAU FORMAT D’IMAGE WIM :
3.1.1 Principe de fonctionnement :
Le format d’image WIM (Windows Installation Manager) est apparu avec « Windows Deployment Services ».
Pour rappel « Windows Deployment Services » est le remplacement de RIS (« Remote Installation Services »).
Il existe deux types d’image WIM :
* Les images WIM de BOOT : ce sont en fait des images WIM qui contiennent un système d’exploitation de type WINPE. Ce type d’image permet :
* D’installer Windows Vista, XP, 2003 ou 2008 sur l’ordinateur.
* De démarrer l’ordinateur sur un système Windows PE (un dérivé allégé de Windows Vista).
* De capturer un système le contenu d’une machine pour créer une image d’installation (on parle d’image de capture).
* Les images WIM d’installation : ces images WIM contiennent les fichiers systèmes nécessaires à l’installation de Windows XP, Vista, 2003 ou Windows 2008. Il est important de noter que l’on peut déployer une image WIM Windows Vista et Windows 2008 sur une architecture matérielle différente.
Pour générer une image WIM, on utilise un outil de WAIK appelé « IMAGEX ».

3.1.2 Pour plus d’informations sur le format d’image WIM :
Voir article ci-dessous : http://technet.microsoft.com/fr-fr/library/ cc507842(TechNet.10).aspx

3.2 WINDOWS PE :
3.2.1 Principe de fonctionnement :
Il s’agit d’un système d’exploitation dérivé de Windows XP / Vista / 2003 / 2008. Il a pour but de remplacer MSDOS comme outil de démarrage pour l’installation de Windows.
Le grand avantage de Windows PE est qu’il est indépendant du matériel.
Windows PE sert aussi :
* Pour faire du dépannage (« Windows Recovery Environnement » est basé sur Windows PE). Certains éditeurs (comme l’éditeur d’ERD Commander) ont développés des addon à Windows PE qui permettent de disposer d’une interface graphique et des principaux logiciels de maintenance.
* Pour capturer une image système, on utilise une image de Windows PE avec l’utilitaire « IMAGEX ».
Microsoft fournit une procédure pour créer une image Windows PE à partir du CD d’installation de Windows XP, Vista, 2003 et Windows 2008.
Pour plus d’informations sur Windows PE voir articles ci-dessous :
* http://technet.microsoft.com/fr-fr/library/cc507857(TechNet.10).aspx
* http://www.clubic.com/article-75377-1-creer-cd- disque-secours-microsoft-windows-pe-2.html

Attention, au bout de 24 heures, un système WinPE redémarre automatiquement.
3.2.2 Pour générer une image ISO à partir d’un répertoire d’installation Windows PE :
Oscdimg -n c:\winpe_x86\ISO c:\winpe_x86\winpe_x86.iso -n -bc:\winpe_x86\etfsboot.com

Voir l’article ci-dessous pour plus d’informations :
https://forums.microsoft.com/TechNet/ShowPost.aspx? PostID=1286533&SiteID=17

3.2.3 Gestion des disques avec Windows PE :
Voir article http://support.microsoft.com/kb/947441/fr.

3.3 COMMENT DEPLOYER EN MASSE WINDOWS VISTA:

Il existe de très nombreux outils qui permettent le déploiement de masse de Windows Vista (on s’y perd même un peu).
On peut cependant classifier ces outils en 3 catégories :
* Les outils de d’analyse de parc : ils permettent de faire un inventaire de votre parc informatique. Windows Vista étant une version majeure de Windows, de nombreuses applications ne fonctionnent plus correctement sous Windows Vista. Microsoft propose trois outils pour faire cela :
* « Windows Advisor » : cet outil est présent sur le CD d’installation. Il va permettre de valider la compatibilité logiciel et matériel de votre ordinateur dans le vue d’une migration vers Windows Vista (de Windows 2000 / XP vers Windows Vista). Cet outil n’est pas adapté au monde de l’entreprise.
* « Windows Assessment » : cet outil permet de scanner l’ensemble de votre réseau et de détecter le matériel et les logiciels qui supporteront la migration vers Windows Vista.
* « Windows ACT 5.0 » (Application Compatibility Check) : cet outil vous permettra d’analyser la compatibilité de vos applications avec Windows Vista. Cet outil intègre une base de connaissance et permet de se synchroniser avec la communauté ACT pour bénéficier du retour des autres personnes qui ont basculés vers Windows Vista. Attention cet outil nécessite le déploiement d’un agent sur les machines sur lesquelles les tests de compatibilité applicatifs sont effectués.
* Les outils de transfert des données des utilisateurs: ces outils permettent de sauvegarder / restaurer les données des utilisateurs présentes en local sur les stations de travail en vue d’une migration de Windows Vista. En effet de nombreuses entreprises préfèrent ne pas migrer le système d’exploitation existant vers Windows Vista car on obtient souvent des comportements inattendues de la part des applications. Ainsi les entreprises préfèrent réinstaller complètement le système d’exploitation. Cela pose le problème de la récupération des données des utilisateurs. Microsoft propose deux outils pour cela :
* « Outil de transfert de fichiers et de paramètres » : cet outil est disponible dans le menu démarrer dans la section Outils systèmes. Il permet à un utilisateur de transférer individuellement les données d’une machine source vers un ordinateur cible via une interface graphique conviviale. Cet outil n’est pas adapté au monde de l’entreprise.
* USMT : cet outil se présente sous forme de deux outils en lignes de commande (SCANSTATE et LOADSTATE). Il permet de scripter le transfert des données et est entièrement personnalisable à l’aide de fichiers XML.
* Les outils de déploiement de masse :
* « WAIK (« Windows Automated Installation KIT ») » : cet outil se présente sous la forme d’une console et d’une invite de commande. Depuis la console il est possible de générer des fichiers de réponses pour automatiser le déploiement d’une image d’installation WIM. L’invite de commande permet de disposer de commandes pour effectuer des actions sur une image WIM (montage d’une image Wim sous forme d’un lecteur en lecture / écriture pour copier des sources d’installation par exemple).
* « Windows Deployment Services » : cet outil va nous permettre de déployer Windows Vista via le réseau à l’aide du protocole PXE. On amorce sur une image de boot WIM qui nous permet de déployer une image d’installation WIM. Avec le WAIK, on peut générer des fichiers de réponse pour automatiser le démarrage de l’image WIM de boot et le choix et le déploiement d’une image WIM d’installation.
* « Windows Deployment Toolkit » (remplacement de « Business Desktop Deployment » alias BDD 2007) : il s’agit en fait d’une suite d’outil qui se base sur tous les outils précédemment présentés. Il existe deux types de déploiement :
* Lite Touch: Cela permet de déployer Windows Vista via WDS ou un partage de fichiers.
* Zero Touch: Cela permet de déployer le système et des logiciels via une infrastructure SMS / System Center.

3.4 WINDOWS ASSESSMENT :
Téléchargement de Windows Vista Assessment :
http://www.microsoft.com/downloads/details.aspx? FamilyID=67240b76-3148-4e49-943d-4d9ea7f77730&displaylang=en

3.5 ACT 5.0 : APPLICATION COMPATIBILITE TOOLKIT 5.0 :
Cette application permet de valider le fonctionnement de vos programmes avec Windows Vista.
Nous allons voir dans cette partie :
* Pourquoi certaines applications ne sont pas compatibles avec Windows Vista.
* Le principe de fonctionnement d’ACT 5.0.

3.5.1 Pourquoi certains programmes ne sont pas compatibles avec Windows Vista :
Avec Windows Vista, les sources de problèmes sont :
* Les nouveaux mécanismes de sécurité d’Internet Explorer 7.0.
* L’abandon de certains composants systèmes.
* Le pare feu.
* L’UAC.
Internet Explorer 7.0 propose un nouveau mode de fonctionnement appelé « mode protégée ».
Avec le mode protégé, dans Internet Explorer, une application web ne peut écrire que dans les dossiers suivants :
* Fichiers Internet temporaires.
* Le dossier Historique
* Le dossier Cookies
* Le dossier Favoris
* Les fichiers temporaires de Windows.

Pour plus d’informations sur le mode protégé de Windows Vista :
* http://technet2.microsoft.com/WindowsVista/fr/ Library/dfc3160b-0578-427d-8a48-6b63a8e917b81036.mspx
* http://windowshelp.microsoft.com/Windows/fr-FR/ help/95211ecc-19b5-439a-b6c5-e2aefd8013031036.mspx
Avec Windows Vista, certains composants intégrés dans Windows XP ont disparus. C’est en autre le cas pour :
* Les Extension FRONT Pages
* Le service de fichiers pour MAC
* D3DRM
* Netmeeting.
* L’assistant publication de sites web
Il faut donc réécrire les applications basées sur ces composants.
Avec une version 64 bits de Windows Vista,
* Plus aucun pilote ne peut s’exécuter en mode noyau.
* Par défaut, les pilotes non signés en version 64 bits refusent de s’installer.
L’UAC et le pare feu de Windows Vista sont aussi des vecteurs de problèmes (voir plus loin dans ce document pour plus d’informations).
Pour contourner ce problème, utiliser :
* Assistant compatibilité de Windows Vista
* Autoriser sites web dans Internet Explorer en tant que site de confiance (désactive le mode protégé pour Internet Explorer).
* Désactiver ou reconfigurer l’UAC.
* Ouvrir les ports sur le pare feu. Avec le pare feu de Windows Vista, vous pouvez autoriser tous les flux d’une application en entrée ou sortie.

3.5.2 Principe de fonctionnement d’ACT :
Nous venons de voir qu’il y a de nombreuses sources d’incompatibilités applicatives avec Windows Vista.
ACT va donc nous permettre de fait un inventaire de votre parc informatique.
Il est important de noter qu’ACT :
* S’appuie sur une base de données SQL Server (Standard ou Express).
* Nécessite l’installation d’un agent sur les stations de travail que l’on intègre dans l’inventaire.
* ACT s’appuie sur 3 modules :
* Module de test UAC
* Module de test Internet Explorer
* Module de test des problèmes avec le WRP (Windows Ressource Protection) et les nouvelles contraintes pour la non prise en charge des pilotes en mode noyau.
ACT nécessite principalement d’effectuer 3 tâches :
* Créer le paquetage de données (agent ACT 5.0) et le déployer sur les stations de travail à l’aide d’une GPO par exemple.
* Configurer les applications par niveau de priorité
* Analyser données collectés

3.5.3 Installation d’ACT :
Avant de commencer l’installation, penser à installer une base de données sur votre serveur (SQL Server ou SQL Server 2005 Express).
Une fois installé (suivre le pas à pas du setup), vient le moment de la configuration de la base de données.

3.5.4 Prise en main de l’interface :
Une fois que l’on a fait un inventaire, la liste des programmes apparaît.
Attention, pour voir si l’application est compatible ou nous vous pouvez synchroniser avec la communauté ACT ou filtrer les programmes sur le champ « issue » (problème).
Les applications incompatibles n’apparaissent pas avec un code de couleur donc attention !

3.5.5 Création du paquetage :
Lorsque l’on crée le paquetage de l’agent ACT, on peut sélectionner les modules d’analyse que l’on veut utiliser.
Dans le jargon ACT, l’agent ACT est appelé DCP (« Database Compatibility package ».

3.5.6 Synchroniser avec la communauté ACT:
Avec le bouton « Send and receive », on peut synchroniser sa base avec la base ACT communautaire pour avoir le retour des autres utilisateurs d’ACT.

3.5.7 Problèmes rencontrées :
Attention les logs qui ne remontent pas pour les stations de travail qui ne sont pas sur le même domaine par défaut. En effet ces machines n’ont pas les droits d’accès aux partages où les logs sont déposés.

3.6 USMT :
3.6.1 Principe général :
USMT permet de sauvegarder et de restaurer automatiquement les données des utilisateurs, et les comptes utilisateurs locaux des machines.
Cet outil est complètement intégré à « Windows Deployment Toolkit ».
Cet outil est basé sur deux commandes :
* SCANSTATE.
* LOADSTATE.
Le fonctionnement de ces deux outils peut être paramétré à l’aide des fichiers XML suivants :
* Config.xml : fichier facultatif mais nécessaire avec Vista car remplace Migsys.xml.
* MigApp.xml : contient les paramètres des applications à migrer
* MigSys.xml : utilisé que pour Windows XP, pas pour Vista
* MigUser.xml : contrôle les dossiers utilisateurs à migrer
* Fichiers xml personnalisés pour migrer dossier et fichier sur ordinateur
Remarque :
* Il est à noter que l’USMT permet de migrer automatiquement les fichiers chiffrés et les certificats associés (si l’on arrive à déchiffrer les données).
* USMT crée un fichier usmt3.mig.
* Attention USMT ne supporte pas le changement de version des logiciels autres qu’Office. Donc vous oubliez le passage d’un applicatif de la version 2.0 à la version 5.0, cela risque de marcher fort mal.
* Attention l’USMT nécessite Windows 2000 service pack 4, le ROOLUP 1 post SP4 et Windows Installer 3.1 sinon on obtient le message d’erreur ci-dessous :

3.6.2 Les bonnes pratiques :
* Migrer par vague pour éviter de saturer le réseau.
* Chiffrer le magasin temporaire (résultat de la commande SCANSTATE).

3.6.3 Pour plus d’informations sur USMT :
* http://www.microsoft.com/downloads/details.aspx? familyid=799AB28C-691B-4B36-B7AD-6C604BE4C595&displaylang=en
* Lire le fichier d’aide installé avec USMT, il est très bien fait.

3.6.4 Pour télécharger USMT 3.0 :
* http://www.microsoft.com/downloads/details.aspx? familyid=799AB28C-691B-4B36-B7AD-6C604BE4C595&displaylang=en

3.7 LE WAIK :
Le WAIK intègre les outils suivants :
* WINPE
* IMAGEX
* Le « Windows System Image Manager ».
Nous allons voir dans cette partie comment générer un fichier de réponse pour automatiser une installation de Windows Vista.

3.7.1 Génération du fichier unattend.xml :
Tout d’abord, il faut comprendre que l’installation de Windows Vista se fait en 7 étapes :
* Windows PE
* OfflineServicing
* Généralize
* Specialise
* AuditSystem
* AuditUser
* OobeSystem : il s’agit de l’assistant qui vous demande de saisir votre nom d’utilisateur.
Chaque étape de l’installation peut être paramétrée et automatisée. On peut même définir certains paramètres à l’aide du fichier de réponse qui ne nous sont pas proposé par ‘l’installation de Windows Vista par défaut ou exécuter des scripts à l’aide de fichier de réponse.
Pour plus d’informations pour personnaliser l’Out Of Box, consulter l’article ci-dessous :
http://windowshelp.microsoft.com/Windows/fr-FR/ help/6ae38832-f98d-4e0c-8b48-2f27cfd18f851036.mspx
En bas à gauche de la fenêtre, on a toutes les variables disponibles.
A droite, on a notre fichier de réponse avec toutes les variables que l’on a ajoutées.
Il est à noter que pour savoir les valeurs que l’on doit rentrer, on peut faire un clic doit sur le paramètre et sélectionner F1. On sait alors ce que l’on peut rentrer (pratique pour les codes régionaux par exemple).
On peut planifier l’exécution d’un script à différentes phases de l’installation de Windows Vista.
Pour cela, il faut rentrer une commande dans une variable asynchronous / synchronous commande.
La commande se rentre dans le « PATH » :
* cmd /c net user Administrator_ploc /active:yes
* cmd /c reg add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System /v FilterAdministratorToken /t REG_DWORD /d 0 /f
Toujours taper cmd / c + la ligne de commande.
Problèmes rencontrées avec les fichiers de réponse :
* Attention à l’ordre pour les disques. Dans le fichier XML, la création doit être avant la modification du disque. Pour être sur il faut faire à la fin un fichier enregistrer sous pour recréer un nouveau fichier XML.

3.7.2 Pour plus d’informations sur le WAIK :
* Lire le fichier « C:\Program Files\Windows AIK\Docs\Whitepapers\getting_started_itpro.htm » présent une fois que l’on a installé le WAIK.

3.7.3 Pour télécharger le WAIK :
http://www.microsoft.com/downloads/details.aspx? displaylang=fr&FamilyID=94bb6e34- d890-4932-81a5-5b50c657de08

3.8 WINDOWS DEPLOYEMENT SERVICE :
3.8.1 Principe de fonctionnement :
Il s’agit du système d’un système de déploiement de Windows via le réseau.
C’est le remplaçant de « Remote Installation Service »
« Windows Deployment Services » :
* S’appuie sur le format d’image WIM pour les images de boot WIM comme pour les images d’installation WIM.
* Gère le multicast pour un déploiement simultanée de plusieurs machines.

3.8.2 Ce qu’il faut retenir de WDS :
* Il existe 2 types d’image WIM de BOOT /
* Les images de boot : utiliser pour installer Windows.
* Les images de capture : utiliser pour capturer un système d’exploitation (nécessite que l’exécution de SYSPREP sur le postes avant dernier redémarrage / arrêt).
* Attention ne pas utiliser l’image WIM boot.wim du cd de Windows Vista sp0 car celui-ci ne gère pas le multicast.
* Suite à un changement de la configuration réseau multicast, il faut redémarrer le service d’installation à distance Windows Vista.
* On peut repasser un client d’une communication en multicast à une communication en unicast en cliquant sur « Déconnecter un client d’une transmission multicast ».
* Pas de support d’IPV6 pour WDS.
* Il faut une image WIM de boot (image Win PE) et une image d’installation (master).
* La vitesse en multicast s’effectue à la vitesse du client le plus lent.
* Les machines X64 supportent le boot PXE sur une image de boot 32 bits et sur une image de boot 64 bits mais pas l’inverse.
* Pas plus de 13 images de boots avec WDS.
* Pas d’espace dans le nom du fichier WIM.
* Si l’on boot sur une image de boot X64, on ne voit que les images WIM d’installation X64.
* Les images WIM Vista n’ont pas de couche d’abstraction matérielle (HAL). Il est donc possible de déployer une image WIM Vista sur des architectures matérielles différentes (voir page 14 du WDS_STEP BY STEP).
* Avec l’utilitaire de capture IMAGEX, on ne voit que les partitions préparer à l’aide de SYSPREP.
Pour créer une image d’installation :
* Installer le système et les applications.
* Mettre à jour le système et les images.
* Configurer les paramètres par défaut de votre système et de vos applications (Default User…).
* Lancer l’utilitaire SYSPREP en mode OOBE et activant la case à cocher « GENERALYSE ».

3.8.3 Installation sans assistance avec WDS :
Vous pouvez automatiser l’installation d’un système via WDS :
Il existe deux types de fichier de réponse avec WDS :
* Un pour automatiser toutes les tâches WDS (connexion à une image avec tel ou tel compte utilisateur).
* Un pour automatiser l’installation du système (associé à l’image WIM).
Pour automatiser les tâches WDS, aller dans les propriétés de votre serveur dans la console « Service de déploiement Windows » puis dans l’onglet Client.
Pour automatiser l’installation du système, aller au niveau de l’image WIM puis faire un clic droit propriétés. Au niveau de l’onglet « Général », cocher « Autoriser l’image à s’installer en mode sans assistance ».

3.8.4 Pour plus d’informations WDS :
http://technet2.microsoft.com/windowsserver2008/en/library/ 8866a02e-dd26-4c11-b29a-f9988b6797f51033.mspx?mfr=true
Lire le STEP BY STEP de WDS, il est très bien écrit ! http://technet2.microsoft.com/WindowsServer2008/en/ library/7d837d88-6d8e-420c-b68f-a5b4baeb52481033.mspx

3.9 PRESENTATION DE WINDOWS DEPLOYMENT TOOLKIT :
Cet outil est le remplaçant de BDD (Business Desktop Deployment).

3.9.1 Principe de fonctionnement :
* Intègre le WAIK, USMT, ACT 5.0.
* Pour bénéficier du multicast avec WDS, il faut installer sur Windows Server 2008
* Pour fonctionner avec Windows 2000, nécessite le sp4, MSXML 3.0, Microsoft Visual C++ Runtime, Internet Explorer 5.0 et Windows Script version 5.6.
* Windows Deployment Toolkit va en fait paramétrer le fichier de réponse unattend.xml et définir dans ce fichier de réponse le lancement de nombreux scripts. Ces scripts se trouvent dans le répertoire d’installation de « Windows Deployment Toolkit »
* Lors création des tâches, on peut éditer le fichier de réponse et donc ajouter d’autres scripts de connexion.
* Il existe un fichier bootstrap.ini qui permet de personnaliser l’assistant qui se lance quand vous démarrer depuis l’image « Lite Touch » de WDT.
Exemple de fichier bootstrap.ini :
[Settings]
Priority=Default
Properties=MyCustomProperty
[Default]
OSInstall=Y
UserDataLocation=NETWORK
SkipAppsOnUpgrade=YES
SkipCapture=NO
SkipAdminPassword=YES
SkipProductKey=YES

3.9.2 Problème rencontré avec le Windows Deployment Toolkit :
Lorsque vous importer la première image d’installation, il est nécessaire de définir une importation complète du CD et non pas uniquement de l’image WIM.
Sinon on obtient ce message au moment du chargement de l’image Lite Touch.

3.9.3 Pour plus d’informations sur Windows Deployment Toolkit :
* http://technet.microsoft.com/en-us/library/bb977913.aspx
* http://www.microsoft.com/downloads/details.aspx? familyid=3bd8561f-77ac-4400-a0c1-fe871c461a89&displaylang=en& Hash=DAl05Mr2BLY7d6jFjYZPzC6h4Tlfmaxaiy H7sDY2XV3T5tiVYLoShLSFkCwK8CWJ4dRRj A4jgKc4UMahmUNulA%3d%3d
* http://technet2.microsoft.com/windowsserver2008/en/library/ fbd2d37b-4127-43fd-a079-f78bbd44b7601033.mspx?mfr=true

3.9.4 Pour télécharger Microsoft Deployment Toolkit :
* http://www.microsoft.com/downloads/details.aspx? FamilyID=3bd8561f-77ac-4400-a0c1-fe871c461a89&DisplayLang=en

4 LES AUTRES NOUVEAUTES DE WINDOWS VISTA :
4.1 LA POSSIBILITE DE FILTRER L’APPLICATION DE GPO LOCAL :
On peut appliquer une GPO local sur une station Windows Vista à un seul utilisateur.
En effet avec Windows 2000 / XP, quand on définissait localement une stratégie de groupe, elle s’appliquait à tout les utilisateurs de la machine.
Cette possibilité n’est intéressante que pour des stations de travail en groupe de travail. Si vous êtes en domaine, utiliser une GPO de domaine.
Pour faire cela, ajouter le composant « Group Policy Object » et cliquer sur « Browse ».
Aller ensuite dans l’onglet « Utilisateurs » et sélectionner l’utilisateur pour lequel vous voulez configurer les paramètres de stratégies de groupe.

4.2 LE NOUVEAU PARE FEU DE WINDOWS VISTA :
4.2.1 Principe de fonctionnement :
* Le pare feu de Windows Vista est un pare feu entrant et sortant à état Pou plus d’informations ce qu’est un pare feu avec état (statefull) et les différences avec les pare feu sans état (stateless), voir articles ci-dessous : http://fr.wikipedia.org/wiki/Pare-feu
* Le pare feu de Windows Vista permet de faire des règles de filtrage basées sur des ports, des adresses IP, des types de protocoles et des applications. Si l’on met en place de l’IPSEC (mécanisme d’isolation), on peut aussi filtrer selon la machine source et destination et selon des utilisateurs et des groupes utilisateurs.
* Le pare feu de Windows Vista se configure deux manières différentes :
* A l’aide d’une interface simplifiée depuis le panneau de configuration (Pare feu).
* Depuis la console MMC « Pare feu avec prise en charge avancée de la sécurité »
* Il est possible de gérer le pare feu à l’aide de la commande « Netsh advfirewall »
* L’ordre d’application des règles dépend de leurs spécificité (nombres de paramètres). Plus une règle est précise, plus elle est évaluée en premier. Les différents types de règles dans le pare feu de Windows Vista sont :
* Sur des services
* Sur des connexions sécurisées (IPSEC).
* Sur des règles d’authentification d’outrepassement
* Sur des règles refusées
* Sur des règles acceptées
* Sur des règles par défauts
* Le service pare feu s’appelle MpsSVC.
* Le pare feu est entièrement administrable par GPO (avec Windows Server 2008). On retrouve sous forme de GPO les mêmes options que dans la console « Pare feu avec prise en charge avancée de la sécurité »
* Une des grandes nouveautés du pare feu est l’amélioration de la prise en charge du protocole RPC.
Pour plus d’informations sur le protocole RPC, voir article http://technet2.microsoft.com/WindowsServer/en/library/ 4dbc4c95-935b-4617-b4f8-20fc947c72881033.mspx. Avec le pare feu de Windows Vista, il faut créer deux règles :
* Une pour permettre l’accès aux services RPC
* L’autre spécifiant comme protocole dynamic RPC pour permettre l’accès aux services qui tournent su port RPC.
* Il est possible de journaliser les connexions (refusées ou acceptés du pare feu). Voir capture ci-dessous.
Remarque :
* Sous Vista, la console Jeu de stratégie résultant ne prend pas en charge l’affichage des options du pare feu avec filtrage avancées. Ces derniers apparaissent sous forme de Les paramètres de registre supplémentaires.

4.2.2 Pour plus d’informations sur la pare feu de Windows Vista :
http://go.microsoft.com/fwlink/?LinkId=64343
http://go.microsoft.com/fwlink/?LinkID=102503
http://go.microsoft.com/fwlink/?LinkId=64382
http://go.microsoft.com/fwlink/?LinkId=64344

4.3 L’UAC :
4.3.1 Le but :
Le but de l’UAC est double :
* Empêcher qu’un programme malveillant s’exécute avec des droits administrateur. Je vous rappelle que quand vous vous loguez en administrateur du domaine sur une station de travail, vous êtes administrateur de toutes les machines du domaine. Gare à un virus qui ferait un scan du réseau et exécuterait des commandes sur toutes les machines du réseau. Avec l’UAC ce script ne pourrait pas s’exécuter.
* Permettre de configurer le comportement à l’installation d’un programme. Vous pouvez configurer le fait qu’une fenêtre POPUP va s’afficher permettant à l’utilisateur de se loguer avec un compte administrateur ou définir que l’installation de l’application va échouer avec un message « Accès refusé ».
* Dans le même principe, vous pouvez définir si une fenêtre d’authentification ou un message « Accès refusé » apparaît lorsqu’un utilisateur standard essaie d’effectuer une tâche d’administration.

4.3.2 Le principe :
Lorsque vous vous loguez, vous récupérer un jeton qui contient le GUID de votre compte et des groupes dont vous être membres.
Ce jeton est présenté à chaque fois que vous avez besoin d’accéder à une ressource.
Le principe de l’UAC est de disposer maintenant de deux jetons :
* Un jeton limité : par défaut vous présentez ce jeton.
* Un jeton normal : ce jeton est présenté seulement après confirmation de votre part que vous voulez bien effectuer la tâche qui nécessite des droits de type « administrateur ».
Quand on essaie d’exécuter une tâche qui nécessite des droits « administrateur » en mode invite de commande, on obtient le message « L’opération demandée nécessite une élévation ».
Il faut lancer la console en mode administrateur pour cela, aller dans le menu démarrer et faire clic droit sur invite de commande et exécuter en tant qu’administrateur.
http://www.laboratoire-microsoft.org/tips-26488-ipconfig-release-sous-Vista.html
Il est important de noter que l’UAC est complètement configurable via stratégie de groupe.

4.3.3 Pour plus d’informations sur l’UAC :
http://technet2.microsoft.com/WindowsVista/en/library/ 0d75f774-8514-4c9e-ac08-4c21f5c6c2d91033.mspx?mfr=true

4.4 EFS : NOUVEAUX ASSISTANTS :
EFS permet de sécuriser l’accès à vos données. Il vient combler les défauts des permissions NTFS
En effet, il est nécessaire de rappeler que par défaut tout administrateur d’une machine peut prendre possession d’un fichier et d’un dossier et donc se donner les droits pour accéder à ce dossier / fichier.
Microsoft apporte un début de réponse avec EFS.
EFS va permettre de chiffrer les données présentes sur un serveur ou en local.
Les données sont chiffrées à l’aide d’une clé secrète, elle-même chiffrée à l’aide d’un certificat utilisateur. Seules les personnes disposant du certificat (clé privé et clé publique) peuvent déchiffrer la clé secrète et donc les données.
Une des nouveautés sympathique d’EFS avec Windows Vista est la possibilité d’exporter ses certificats depuis le composant « Utilisateurs » du panneau de configuration de Windows Vista.
De plus en cas de changement de certificats utilisateur, il est possible de déchiffrer automatiquement tous les fichiers chiffrés avec l’ancien certificat pour les chiffrer avec le nouveau certificat.
Pour plus d’informations sur EFS avec Windows Vista, voir les articles ci-dessous :
http://blog.windows.free.fr/index.php/tag/efs
http://technet.microsoft.com/fr-fr/magazine/cc162489(TechNet.10).aspx
Problème EFS avec Windows Vista :
http://support.microsoft.com/kb/939391/fr

4.5 PRISE EN CHARGE DU MUI DANS WINDOWS VISTA :
Les versions Entreprise et Ultimate de Windows Vista sont MUI.
Il est possible d’installer des packs de langues et basculer très rapidement d’une langue d’affichage à un autre.
Pour plus d’informations :
http://technet2.microsoft.com/WindowsVista/en/library/ 85e289ca-9fd8-4963-b06a-5ecc457006c71033.mspx?mfr=true

5 SE FORMER RAPIDEMENT AVEC WINDOWS VISTA :
Lire en priorité les STEP BY STEP de Windows Vista.
Ils sont très bien faits. Ces derniers sont téléchargeables à l’adresse suivante :
http://www.microsoft.com/downloads/details.aspx? familyid=311f4be8-9983-4ab0-9685-f1bfec1e7d62&displaylang=en
Consulter la bibiothèque Windows Vista en français (site technet) à l’adresse suivante :
http://technet2.microsoft.com/WindowsVista/fr/library/ 90a564b9-34af-4a6b-937f-324e1862244b1036.mspx?mfr=true
Consulter aussi le guide de sécurité de Windows Vista à cette adresse:
http://www.microsoft.com/downloads/details.aspx?familyid= a3d1bbed-7f35-4e72-bfb5-b84a526c1565& displaylang=fr&Hash=Zt45%2bDwkQ4feoCLxf7cYg3lSoNL%2fT129Wz2MNUFS %2bvyuc3CfRZ71F5O0ojmwvoYpQo79Jdd6xo2w1KLnqj %2fc6Q%3d%3d

A propos Guillaume Mathieu

Directeur Technique chez Flexsi
Ce contenu a été publié dans Windows Server 2008, Windows Vista. Vous pouvez le mettre en favoris avec ce permalien.