Guide de sécurité Windows Vista®

Présentation

Bienvenue dans le Guide de sécurité WindowsVista®. Ce guide fournit des instructions et des recommandations pour vous aider à renforcer la sécurité des ordinateurs de bureau et des ordinateurs portables exécutant Windows Vista dans un domaine utilisant le service d'annuaire Active Directory.

En complément des solutions recommandées par le Guide de sécurité Windows Vista® , le guide présente des outils, des procédures détaillées, des recommandations et des processus qui simplifient considérablement le déploiement. Le guide vous propose non seulement des instructions pour mettre en place des paramètres de sécurité efficaces mais il fournit également une méthode reproductible que vous pouvez utiliser pour mettre en œuvre ces instructions dans des environnements de test et de production.

L'outil clé fourni par le Guide de sécurité Windows Vista® est le script GPOAccelerator.wsf. Cet outil vous permet d'exécuter un script qui crée automatiquement tous les objets GPO (objets de stratégie de groupe) dont vous avez besoin pour appliquer ces instructions de sécurité. Le fichier Windows Vista® Security Guide Settings.xls qui accompagne ce guide constitue une autre ressource que vous pouvez utiliser pour comparer les valeurs des paramètres.

Les instructions recommandées dans le guide ont été révisées et approuvées par des équipes d'ingénieurs Microsoft, des consultants, des ingénieurs du support technique, des partenaires et des clients, ce qui vous garantit un support :

  • Qui a fait ses preuves.. Basé sur l'expérience de terrain.
  • Qui fait autorité.. Offrant les meilleurs conseils possibles.
  • Précis.. Validé et testé sur le plan technique.
  • Exploitable.. Décrivant les étapes qui vous conduiront au succès.
  • Pertinent.. Traitant de problèmes de sécurité réels.

Les consultants et les ingénieurs système mettent au point les méthodes recommandées pour installer Windows Vista®, Microsoft Windows XP Professionnel, Windows Server 2003 et Windows 2000 dans toutes sortes d'environnements. Si vous envisagez d'utiliser Windows Vista® dans votre environnement, Windows Vista Hardware Assessment peut aider les entreprises à déterminer si leurs ordinateurs peuvent exécuter le système d'exploitation Windows Vista®. Cet outil dresse un inventaire rapide des ordinateurs, identifie la configuration Windows Vista® prise en charge et recommande le cas échéant des mises à niveau matérielles et de pilotes de périphériques spécifiques.

Microsoft a publié des guides pour Windows XP avec Service Pack 1 (SP1) comme pour Windows XP avec SP2. Ce guide présente des améliorations importantes en matière de sécurité dans Windows Vista®. Le guide a été mis au point et testé avec des ordinateurs qui exécutent Windows Vista® et connectés à un domaine utilisant Active Directory, ainsi qu'avec des ordinateurs autonomes.

RemarqueSauf indication contraire, toutes les références à Windows XP dans ce guide concernent Windows XP avec SP2.

Sur cette page

Résumé Résumé
Personnes concernées par ce guide Personnes concernées par ce guide
Résumé du chapitre Résumé du chapitre
Conseils et outils Conseils et outils
Conventions stylistiques Conventions stylistiques
Plus d'informations Plus d'informations
Remerciements Remerciements

Résumé

Quel que soit votre environnement, nous vous conseillons vivement de prendre les questions de sécurité très au sérieux. Bon nombre d'entreprises sous-estiment l'importance de l'informatique. Pourtant, en cas d'attaque importante sur vos serveurs, les conséquences peuvent s'avérer désastreuses pour toute votre entreprise. Par exemple, si un programme malveillant infecte les ordinateurs clients de votre réseau, votre entreprise pourrait perdre des données propriétaires et devoir supporter des coûts indirects importants pour les sécuriser de nouveau. Une attaque qui entraînerait l'indisponibilité de votre site Web, pourrait également entraîner un important manque à gagner ou une perte de confiance de vos clients.

Une analyse des vulnérabilités, des risques et de l'exposition aux attaques vous informe sur les compromis entre sécurité et fonctionnalités auquel sont soumis tous les ordinateurs intégrés à un environnement réseau. Ce guide passe en revue les principales contre-mesures de sécurité disponibles dans Windows Vista®, les failles qu'elles aident à corriger et les conséquences négatives éventuelles, le cas échéant, liées à l'application de chacune de ces contre-mesures.

Ce guide s'appuie sur le Guide de sécurité Windows XP, qui fournit des recommandations spécifiques sur la manière de renforcer les ordinateurs qui exécutent Windows XP avec SP2. LeGuide de sécurité Windows Vista fournit des recommandations pour renforcer les ordinateurs qui utilisent des lignes de base de sécurité spécifiques pour les deux environnements suivants :

  • Client Entreprise (CE). Les ordinateurs clients de cet environnement sont situés dans un domaine qui utilise Active Directory et n'ont besoin de communiquer qu'avec des systèmes qui exécutent Windows Server 2003. Les ordinateurs clients de cet environnement peuvent présenter différentes configurations : certains exécutent Windows Vista® tandis que d'autres exécutent Windows XP. Pour obtenir des instructions sur la manière de tester et de déployer l'environnement CE, reportez-vous au Chapitre 1, « Implémentation de la ligne de base de sécurité ». Et pour plus d'informations sur les paramètres de la ligne de base de sécurité utilisés dans cet environnement, reportez-vous à l'Annexe A, « Paramètres de stratégie de groupe de sécurité ».
  • Sécurité spécialisée – Fonctionnalité limitée (SSFL). Dans cet environnement, la sécurité représente un enjeu si important que l'on accepte une baisse significative de fonctionnalité et d'ergonomie. Les ordinateurs de l'armée et des services secrets fonctionnent par exemple dans ce type d'environnement. Les ordinateurs clients de cet environnement exécutent uniquement Windows Vista®. Pour obtenir les instructions sur la manière de tester et de déployer l'environnement SSFL, veuillez vous reporter au Chapitre 5, « Sécurité spécialisée – Fonctionnalité limitée ». Et pour obtenir les informations sur les paramètres SSFL utilisés par cet environnement, reportez-vous à l'Annexe A, « Paramètres de stratégie de groupe de sécurité ».

    Avertissement

    Les paramètres de sécurité SSFL ne sont pas destinés à la majorité des organisations. Cette configuration de paramètres a été développée pour des entreprises pour lesquelles la sécurité est plus importante que la fonctionnalité.

La structure de ce guide vous permet d'accéder aisément aux informations dont vous avez besoin. Le guide et les outils qui lui sont associés vous aident à :

  • Déployer et activer l'une ou l'autre des lignes de base de sécurité dans votre environnement réseau.
  • Identifier et utiliser les fonctionnalités de sécurité Windows Vista® pour les scénarios de sécurité courants.
  • Identifier l'objectif de chaque paramètre dans l'une ou l'autre des lignes de base de sécurité et comprendre leur importance.

Même si ce guide s'adresse aux clients d'entreprise, la plupart des conseils qu'il contient conviennent aux entreprises de toutes tailles. Pour exploiter au mieux les informations fournies, nous vous conseillons de lire le guide dans son intégralité. Il est toutefois possible de ne lire que certaines parties du guide pour atteindre des objectifs particuliers. La section « Résumé des chapitres » de cette présentation résume les informations contenues dans le guide. Pour plus d'informations sur les questions et les paramètres de sécurité liés à Windows XP, reportez-vous au Guide de sécurité Windows XP et au guide qui l'accompagne, Menaces et contre-mesures.

Haut de page Haut de page

Personnes concernées par ce guide

Le Guide de sécurité Windows Vista® concerne principalement les informaticiens généralistes, les spécialistes de la sécurité, les architectes réseau et autres informaticiens et consultants qui planifient le développement d'applications ou d'infrastructures et le déploiement de Windows Vista® pour les ordinateurs de bureau et les ordinateurs portables dans un environnement d'entreprise. Ce guide n'est pas destiné aux utilisateurs grand public. Il a été conçu à l'attention d'utilisateurs professionnels remplissant les fonctions suivantes :

  • Informaticien généraliste.. Les utilisateurs de ce type gèrent la sécurité à tous les niveaux dans des entreprises comprenant de 50 à 500 ordinateurs clients. Les informaticiens généralistes souhaitent pouvoir sécuriser les ordinateurs qu'ils gèrent de manière rapide et simple.
  • Spécialiste de la sécurité. Les utilisateurs de ce type se consacrent à la sécurisation de plates-formes informatiques au sein d'une entreprise. Les spécialistes de la sécurité ont besoin d'un guide de référence fiable qui réponde aux exigences de sécurité requises à tous les niveaux de l'entreprise et propose également des méthodes éprouvées permettant d'implémenter des contre-mesures de sécurité. Les spécialistes de la sécurité identifient les fonctionnalités et les paramètres de sécurité, puis fournissent des recommandations sur la manière dont leurs clients peuvent les utiliser, le plus efficacement possible, dans des environnements à hauts risques.
  • Exploitation informatique, assistance interne et équipes de déploiement. Dans le cadre des opérations informatiques, les utilisateurs se concentrent sur l'intégration de la sécurité et la maîtrise des changements dans le processus de déploiement, tandis que l'équipe de déploiement se concentre sur la gestion rapide des mises à jour de sécurité. Ces types de personnel résolvent également les problèmes de sécurité liés aux applications et relatifs à l'installation, la configuration et l'amélioration de la convivialité et des possibilités de gestion des logiciels. Ils surveillent ces types de problèmes pour définir des améliorations de sécurité mesurables, avec un minimum d'impact sur les applications d'entreprise essentielles.
  • Architecte et planificateur réseau. Les utilisateurs de ce type s'efforcent d'améliorer l'architecture réseau des ordinateurs de leur entreprise.
  • Consultant. Les utilisateurs de ce type travaillent dans des entreprises dont le parc comprend entre 50 à 5 000 ordinateurs clients, voire plus. Les consultants en informatique sont sensibilisés à plusieurs types de scénarios de sécurité qui couvrent tous les niveaux d'activité d'une entreprise. Les consultants en informatique de Microsoft Services et des partenaires bénéficient d'outils de transfert des connaissances pour les clients d'entreprise et les partenaires.
  • Analystes et décideurs d’entreprise (BDM).. Les utilisateurs de ce type ont des exigences et des objectifs professionnels stratégiques qui nécessitent le recours à des ordinateurs de bureau ou des ordinateurs portables.

RemarqueLes utilisateurs qui souhaitent appliquer les recommandations de ce guide doivent, au minimum, lire et effectuer toutes les étapes nécessaires pour établir l'environnement CE apparaissant dans le Chapitre 1 « Implémentation de la ligne de base de sécurité ».

Compétences et aptitudes

Les personnes concernées par ce guide, à savoir celles qui sont chargées du développement, du déploiement et de la sécurisation des ordinateurs clients exécutant Windows Vista dans des entreprises, doivent impérativement posséder les connaissances et les compétences suivantes :

  • Certification MCSE sur Windows Server 2003 ou certification plus récente avec 2 ans d'expérience au minimum dans le domaine de la sécurité ou équivalent.
  • Connaissance approfondie du domaine de l'entreprise et des environnements Active Directory.
  • Expérience de la console GPMC (Console de gestion des stratégies de groupe).
  • Expérience de la gestion des stratégies de groupe avec utilisation de la console GPMC, qui offre une solution unique pour la gestion de toutes les tâches liées aux stratégies de groupe.
  • Maîtrise des outils de gestion, dont la console MMC (Microsoft Management Console), Gpupdate et Gpresult.
  • Expérience du déploiement d'applications et d'ordinateurs clients en entreprise.

Objectifs de ce guide

Les principaux objectifs de ce guide sont de vous aider à :

  • Utiliser les instructions de la solution pour créer et appliquer, de manière efficace, des configurations testées de la ligne de base de sécurité à l'aide de stratégies de groupe.
  • Comprendre la logique des recommandations en matière de paramètres de sécurité dans la configuration de la ligne de base qui sont incluses dans ce guide, et ce qu'elles impliquent.
  • Identifier et examiner les scénarios de sécurité courants et comprendre comment utiliser les fonctionnalités de sécurité spécifiques dans Windows Vista pour vous aider à les gérer dans votre environnement.

Ce guide est conçu de telle façon que vous pouvez n'utiliser que les parties vous permettant de satisfaire aux exigences de votre entreprise. Cependant, il est recommandé de lire l'intégralité du guide pour en tirer un bénéfice maximal.

Portée de ce guide

Ce guide porte principalement sur la manière de créer et de préserver un environnement sécurisé pour les ordinateurs de bureau et les ordinateurs portables qui exécutent Windows Vista®. Il décrit les différentes étapes de la sécurisation de deux environnements différents et précise le rôle de chaque paramètre de sécurité pour les ordinateurs de bureau et les ordinateurs portables déployés dans chacun de ces environnements. Le guide contient des informations et des recommandations de sécurité.

Les ordinateurs clients dans l'environnement CE peuvent exécuter Windows XP ou Windows Vista®. Cependant, les ordinateurs qui gèrent ces ordinateurs clients sur le réseau doivent exécuter Windows Server 2003 R2 ou Windows Server 2003 avec SP1. Les ordinateurs clients dans l'environnement SSFL peuvent uniquement exécuter Windows Vista®.

Le guide ne contient que les paramètres de sécurité disponibles pour le système d'exploitation qu'il recommande. Pour une étude approfondie de tous les paramètres de sécurité, reportez-vous au guide qui l'accompagne, Menaces et contre-mesures.

Haut de page Haut de page

Résumé du chapitre

Le Guide de Sécurité Windows Vista® est composé de cinq chapitres et d'une annexe que vous pouvez utiliser pour consulter les descriptions, les valeurs et les commentaires associés aux paramètres. Le fichier Windows Vista® Security Guide Settings.xls qui accompagne ce guide constitue une autre ressource que vous pouvez utiliser pour comparer les valeurs des paramètres. L'illustration suivante décrit la structure de ce guide. Reportez-vous à cette illustration pour mieux comprendre comment mettre en œuvre et déployer les recommandations de manière optimale.


Voir l'image en taille réelle

Présentation

La présentation établit les objectifs et la portée du guide, définit le public auquel il s'adresse et indique la manière dont il est structuré pour vous aider à localiser les informations qui vous intéressent. Elle décrit également les outils et les modèles qui l'accompagnent, ainsi que les pré-requis d'utilisation des instructions. Chaque chapitre ainsi que l'annexe du guide sont accompagnés de brèves descriptions.

Chapitre 1 : Implémentation de la ligne de base de sécurité

Ce chapitre décrit les avantages dont peut bénéficier une entreprise lorsqu'elle crée et déploie une ligne de base de sécurité. Le chapitre contient des instructions et des processus permettant d'implémenter les paramètres de la ligne de base CE et les instructions de sécurité.

Pour ce faire, le chapitre comporte des directives qui expliquent comment utiliser le script GPOAccelerator.wsf associé à la console GPMC afin de créer, de tester et de déployer des unités d'organisation (UO) et des objets GPO pour établir cet environnement. Le fichier Windows Vista® Security Guide Settings.xls qui accompagne ce guide constitue une autre ressource que vous pouvez utiliser pour comparer les valeurs des paramètres.

Chapitre 2 : Se défendre contre les programmes malveillants

Ce chapitre formule des recommandations pour tirer parti des nouvelles fonctionnalités de sécurité de Windows Vista® ainsi que des fonctionnalités existantes améliorées afin de protéger les ordinateurs clients et le parc de l'entreprise contre les programmes malveillants, y compris virus, vers et chevaux de Troie. Ce chapitre contient des informations sur la manière d'utiliser le plus efficacement possible les technologies suivantes dans le système d'exploitation :

  • Contrôle des comptes utilisateur (UAC)
  • Windows Defender
  • Pare-feu Windows
  • Centre de sécurité Windows
  • Outil de suppression des logiciels malveillants
  • Stratégies de restriction logicielles

De plus, le chapitre inclut les informations suivantes à propos des technologies de sécurité d'Internet Explorer 7.

  • Internet Explorer en mode protégé
  • Inscription ActiveX
  • Protection contre les attaques de script interdomaines
  • Barre d'état de sécurité
  • Filtre anti-hameçonnage
  • Fonctionnalités de sécurité supplémentaires

Chapitre 3 : Protéger les données sensibles

Ce chapitre fournit des recommandations et des informations sur les méthodes recommandées permettant de contribuer à la protection des données à l'aide des technologies de chiffrement et de contrôle d'accès dans Windows Vista®. Ces technologies sont particulièrement adaptées aux environnements informatiques mobiles dans lesquels un équipement exécutant Windows Vista® est plus susceptible d'être perdu ou volé.

Le contenu de ce chapitre inclut des informations sur la manière d'utiliser le plus efficacement possible les technologies suivantes dans Windows Vista® :

  • BitLocker™ Drive Encryption
  • Système de fichiers EFS (Encrypting File System)
  • Services RMS (Rights Management Services)
  • Contrôle des périphériques

Chapitre 4 : Compatibilité des applications

Ce chapitre contient des recommandations sur la manière d'utiliser les fonctionnalités et les paramètres de sécurité de Windows Vista®, nouveaux ou améliorés, sans remettre en cause la fonctionnalité des applications existantes de votre environnement. Le contenu de ce chapitre :

  • Souligne les éventuels problèmes de compatibilité des applications.
  • Fournit deux procédures simples que vous pouvez utiliser pour tester la compatibilité des applications avec Windows Vista®.
  • Inclut les éventuelles stratégies de réduction des risques, des configurations et des instructions.
  • Recommande d'autres ressources que vous pouvez utiliser pour déterminer plus précisément la compatibilité des applications avec Windows Vista®.

Chapitre 5 : Sécurité spécialisée – Fonctionnalité limitée

Ce chapitre comporte une partie explicative sur l'environnement SSFL et décrit les différences majeures entre celui-ci et l'environnement CE. Le chapitre contient des instructions et des processus permettant d'implémenter les paramètres de la ligne de base SSLF et les instructions de sécurité. Le chapitre comporte des instructions qui expliquent comment utiliser un script pour influer sur la console GPMC afin de créer, de tester et de déployer les unités d'organisation et les objets GPO pour établir cet environnement.

Avertissement

Les instructions de ce chapitre vous permettent d'établir l'environnement SSFL, qui est différent de l'environnement CE décrit dans le Chapitre 1, « Implémentation de la ligne de base de sécurité ». Les instructions de ce chapitre sont uniquement destinées à des environnements hautement sécurisés et ne constituent pas un complément au Chapitre 1.

Annexe A : Paramètres de stratégie de groupe de sécurité

L'annexe comporte des descriptions et des tableaux qui détaillent les paramètres recommandés dans les lignes de base de sécurité CE et SSFL. L'annexe décrit chaque paramètre et explique sa configuration ou sa valeur. L'annexe indique également les différences de paramétrage entre Windows Vista® et Windows XP.

Haut de page Haut de page

Conseils et outils

Cet accélérateur de solution contient de nombreux fichiers, tel que le Guide de sécurité Windows Vista.doc, l'annexe A du Guide de sécurité Windows Vista.doc, le fichier Paramètres du Guide de sécurité Vista.xls et l'outil GPOAccelerator pour vous permettre d'implémenter facilement les conseils. Après avoir téléchargé l'accélérateur de solution Guide de sécurité Windows Vista® à partir du Centre de téléchargement Microsoft, utilisez le fichier Microsoft Windows Installer (.msi) pour installer ces ressources sur votre ordinateur à l'emplacement de votre choix.

RemarqueLorsque vous commencez l'installation du Guide de sécurité Windows Vista® , l'outil GPOAccelerator est sélectionné par défaut avec les autres instructions qui accompagnent cet outil. L'utilisation de cet outil requiert des privilèges d'administrateur. L'emplacement par défaut pour l'installation de l'accélérateur de solution est votre dossier Mes documents. L'installation crée un raccourci vers le guide, qui ouvre le dossier Guide de sécurité Windows Vista®.

Vous pouvez utiliser la console de gestion des stratégies de groupe (GPMC) pour appliquer les outils et les modèles pour l'une ou l'autre des lignes de base de sécurité définies dans le guide. Les chapitres « Implémentation de la ligne de base de sécurité » et « Sécurité spécialisée – Fonctionnalité limitée » décrivent les procédures que vous pouvez suivre pour accomplir ces tâches.

Haut de page Haut de page

Conventions stylistiques

Ce guide utilise les conventions stylistiques suivantes.

Tableau 1.1 Conventions stylistiques

Élément Signification
Police de caractères gras

Caractères qui doivent être saisis exactement comme indiqué (notamment les commandes, commutateurs et noms de fichiers). Les éléments d'interface utilisateur apparaissent également en gras.

Police de caractères italique

Les titres de livres et autres publications importantes apparaissent enitalique.

<Italique>

Les espaces réservés définis en italique et les chevrons <nom de fichier> représentent des variables

Police à espacement fixe

Définit les exemples de codes et scripts.

Remarque

Avertit le lecteur de la présence d'informations supplémentaires.

Important

Une note importante fournit les informations essentielles à la réalisation d'une tâche.

Avertissement

Signale à l'utilisateur la présence d'informations complémentaires essentielles qui ne doivent pas être ignorées.

Ce symbole indique des modifications ou des recommandations de paramètres de stratégie de groupe.

§

Ce symbole indique de nouveaux paramètres de stratégie de groupe de Windows Vista®.

Haut de page Haut de page

Plus d'informations

Les liens suivants fournissent des informations complémentaires sur les questions liées à la sécurité et des discussions approfondies sur les concepts et les recommandations de sécurité contenus dans ce guide :

Assistance et commentaires

L'équipe Solution Accelerators – Security and Compliance (SASC) aimerait avoir votre avis sur ce sujet et sur d'autres accélérateurs de solution.

N'hésitez pas à partager votre avis via le groupe de discussions sur la sécurité , accessible sur le site Web d'aide et d'assistance Windows Vista®.

Ou envoyez vos commentaires par courrier électronique à l'adresse suivante : secwish@microsoft.com.

Vos commentaires sont les bienvenus.

Haut de page Haut de page

Remerciements

L'équipe Solution Accelerators – Security and Compliance (SASC) aimerait remercier les personnes à l'origine du Guide de sécurité Windows Vista®. Guide de sécurité Windows Vista®. Les personnes citées ci-après sont ou directement responsables ou ont apporté une contribution substantielle à la rédaction, au développement et aux tests de cette solution.

Équipe de développement

Auteurs et Experts

José Maldonado

Mike Danseglio

Michael Tan

Richard Harrison, Content Master Ltd

David Coombes, Content Master Ltd

Jim Captainino, Content Master Ltd

Richard Hicks, QinetiQ

Testeurs

Gaurav Bora

Vikrant Minhas, Infosys Technologies Ltd

Sumit Parikh, Infosys Technologies Ltd

Dharani Mohanam, Infosys Technologies Ltd

Swapna Jagannathan, Infosys Technologies Ltd

Prashant Japkar, Infosys Technologies Ltd

Éditeurs

John Cobb, Wadeware LLC

Jennifer Kerns, Wadeware LLC

Steve Wacker, Wadeware LLC

Responsables de programme

Kelly Hengesteg

Audrey Centola, Volt Information Sciences

Neil Bufton, Content Master Ltd

Responsables produits

Jim Stewart

Alain Meeus

Tony Bailey

Kevin Leo, Excell Data Corporation

Responsables versions

Karina Larson

Gareth Jones

Collaborateurs et réviseurs

Microsoft

Charles Denny, Ross Carter,

Derick Campbell, Chase Carpenter

Karl Grunwald, Mike Smith-Lonergan

Don Armstrong, Bob Drake

Eric Fitzgerald, Emily Hill

George Roussos, David Abzarian

Darren Canavor, Nils Dussart

Peter Waxman, Russ Humphries

Sarah Wahlert, Tariq Sharif

Ned Pyle, Bomani Siwatu

Kiyoshi Watanabe, Eric Lawrence

David Abzarian, Chas Jeffries

Vijay Bharadwaj, Marc Silbey

Sean Lyndersay, Chris Corio

Matt Clapham, Tom Daemen

Sanjay Pandit, Jeff Williams

Alex Heaton, Mike Chan

Bill Sisk, Jason Joyce

Externe

Mehul Mediwala, Infosys Technologies Ltd

Remarques À la demande de Microsoft, le centre de sécurité informatique de la NSA (National Security Agency Information Assurance Directorate) a participé à la relecture de ce guide de sécurité et ont émis des commentaires qui ont été incorporés à la version publiée. L'institut de la normalisation et de la technique (National Institute of Standards and Technology, NIST) du département du commerce américain a participé à la relecture de ce guide de sécurité et a émis des commentaires qui ont été incorporés à la version publiée.

Haut de page Haut de page

Dans cet article

Téléchargement

Se procurer le Guide de sécurité Windows Vista®

Notifications Solution Accelerator

Inscrivez-vous pour rester informé

Commentaires

Envoyez-nous vos commentaires ou suggestions