Overblog
Editer l'article Suivre ce blog Administration + Créer mon blog
4 septembre 2021 6 04 /09 /septembre /2021 14:00

2022 apporte beaucoup de nouveautés, surtout en ce qui concerne la sécurité. Mais Microsoft en profite pour durcir sa politique.

Quelques conseils (mais pas beaucoup après plusieurs mois de tests) :

  • Oubliez les vieilles commandes que je vois trop souvent. S i vous utilisez Netdom pour intégrer votre futur DC, prévoyez une bonne sauvegarde. En effet, si vous utilisez Netdom, vous allez perdre votre forêt.
  • Attention au nouveau système de fichier. Mes tests avec un HDD et une clef USB ont montrés qu'une fois mis sur le 2022, le stockage devient inaccessible sur les anciens OS

Et puis, il ne faut pas oublier que Microsoft impose le chiffrage des disques et des identités pour les DCs. On s'appuie sur la TPM... qui n'est pas toujours disponible dans le cloud. Par exemple, Amazon ne délivre pas cette fonctionnalité. Leur palliatif n'est pas compatible... Si MS garde cette politique, beaucoup de sociétés vont devoir revoir leur copie.

Et pour ceux qui sont allergique au PowerShell... dommage !

Je mets des informations complémentaires concernant différents points. A noter tout de même, que toutes les améliorations sont entièrement compatible avec Windows 11. C'est entre autre pour cela que Windows 2022 est sortie quelques semaines avant Windows 11 (prévu le 5 octobre).

Sécurité

  • Secured-Core Server : Un serveur Secured-core protège le serveur contre les attaques sophistiquées et peut fournir une assurance accrue lors du traitement des données critiques dans certains secteurs sensibles. Il repose sur trois piliers : une sécurité simplifiée, une protection avancée et une défense préventive.
  • La sécurité simplifié se base uniquement sur le matériel du fabricant (OEM). Le matériel est le firmware, hardware et les drivers qui seront compatible. L'activation se fait simplement dans l'Admin Center.
  • La protection avancée : Elle s'appuie sur la TPM 2.0. Elle est utilisée pour Bitlocker par exemple. Egalement, il y a une protection des firmware. En effet, des virus se mettent de plus en plus dans les firmware. Pour protéger le serveur, on va s'appuyer sur DRTM (côté processeur) et DMA ce qui va permettre de renforcer l'isolation de l'hyper-viseur pour bloquer ce type d'ataque.
  • Enfin, la défense préventive : Elle permet d'être proactive et de bloquer les chemins connus par les attaquants. Je n'ai pas approfondi ce point, mais j'ai l'impression qu'il fait office d'EDR ou d'un équivalent. A vérifier...

La connectivité

  • Le HTTPS et TLS 1.3 sont activés par défaut, les anciennes version et les protocoles obsolètes ne sont pas activés, voir inexistants
  • DNS Sécurisé prendre en charge DoH (DNS over HTTPS). Elle permet de chiffrer les requêtes DNS à l'aide de HTTPS, et donc d'un certificat venant d'une PKI entreprise.
  • SMB ! Et oui, SMB toujours là pour vous écouter :-) Sauf que maintenant, on se base sur de l'AES-256-GCM et AES-256-CCM. Cependant, l'AES-CMAC-128 est toujours présent pour assurer une certaine compatibilité. Mais bon, on ne descend pas à Windows XP (oui, il y a encore des sociétés qui en ont encore). Cela veut dire que SMB v2 est mort... Petite précision, avec Windows 2022 et Windows 11, le transfert de fichier via SMB sont compressés (et ça c'est top).
  • Pour Azure, SMB over QUIC est mis à jour avec SMB 3.1.1

Virtualisation

  • La virtualisation imbriquée (pour les processeurs AMD uniquement) permet de faire fonctionner un Hyper-V dans une VM sous Hyper-V. Très cool pour l'apprentissage !

Navigateur

  • IE est mort, vive Edge ! Bon, tout comme la version actuelle de Edge, il fonctionne en utilisant de l'Open Source : Chromium. Chose que je ne comprends pas, il peut être utilisé avec une installation Desktop Experience ou en Server Core...
Partager cet article
Repost0

commentaires