Windows XP Service Pack 2 en EntrepriseWindows XP Service Pack 2 en Entreprise

Pascal SauliereConsultant Principal Sécurité, CISSPMicrosoft Francehttp://microsoft.com/france/securite

Objectifs et points clés

Objectifs de la sessionRevue des composants principaux du SP2Projet de déploiementCompatibilité des applicationsMécanismes de déploiementPrincipes de l’administration

Points clésLe déploiement de XP SP2 est un événement majeur

Traitez-le comme un mini déploiement d’OSTestez, testez, testez !Les utilisateurs seront impactés

Formation et communicationProfitez de SMS 2003 pour minimiser l’impact du déploiementProfitez d’Active Directory pour l’administration

Agenda

Fonctionnalités de Windows XP SP2

Projet de déploiement

Méthodes de déploiement

Administration

Fonctionnalités du SP2Fonctionnalités du SP2

Vous nous avez dit…

« Donnez-nous un « Donnez-nous un bon contrôle bon contrôle

d’accès »d’accès »

« Donnez-nous un « Donnez-nous un bon contrôle bon contrôle

d’accès »d’accès »

« Développez du code « Développez du code fiable fiable

et sécurisé »et sécurisé »

« Développez du code « Développez du code fiable fiable

et sécurisé »et sécurisé »

« Simplifiez la « Simplifiez la maintenance »maintenance »« Simplifiez la « Simplifiez la maintenance »maintenance »

« Réduisez l’impact « Réduisez l’impact du code malveillant »du code malveillant »« Réduisez l’impact « Réduisez l’impact

du code malveillant »du code malveillant »

Amélioration des mises à Amélioration des mises à jourjour

Excellence de Excellence de l’engineeringl’engineering

Authentification, Authentification, Autorisation, Contrôle Autorisation, Contrôle d’accèsd’accès

Isolation et résilienceIsolation et résilience

« Donnez-nous de « Donnez-nous de meilleurs conseils »meilleurs conseils »« Donnez-nous de « Donnez-nous de

meilleurs conseils »meilleurs conseils »Fournir des guides Fournir des guides prescriptifs, des outils, de prescriptifs, des outils, de bonnes réponsesbonnes réponses

Nos actions…Nos actions…

Notre réponse : les tâches de MicrosoftIsolation et Isolation et RésilienceRésilience

Amélioration Amélioration des mises à des mises à

jourjourAuthentificationAuthentification, Autorisation et , Autorisation et

Contrôle Contrôle d’Accèsd’Accès

Excellence en Excellence en ingénierieingénierie

Guides, Outils Guides, Outils et Réponseet Réponse

Réduire le risque d’arrêt de Réduire le risque d’arrêt de l’activitél’activité

Diminuer le coût du maintien à Diminuer le coût du maintien à jour er augmenter l’efficacitéjour er augmenter l’efficacité

Simplifier l’adoption de la gestion Simplifier l’adoption de la gestion de la sécuritéde la sécurité

Élever le niveau de la sécurité des Élever le niveau de la sécurité des logicielslogiciels

Accélérer l’adoption des Accélérer l’adoption des meilleures pratiquesmeilleures pratiques

Fonctionnalités du SP2Résumé audacieux

Centre de sécurité Windows : paramètres de sécurité de votre ordinateur à partir d'un emplacement unique (hors domaine)Pare-feu Windows : installé et activé par défautProtection du téléchargement pour Internet ExplorerGestionnaire de pièces jointes : Outlook Express, Windows Messenger et Internet ExplorerBloqueur de fenêtres publicitaires intempestives (pop-up blocker) dans Internet ExplorerWindows Movie Maker 2.1Modifications apportées au Lecteur Windows Media Microsoft (mis à jour vers Windows Media Série 9)

Isolation et RésilienceRéduction des modes d’attaque

Communiquer et collaborer de manière plus sécuriséeCommuniquer et collaborer de manière plus sécuriséesans sacrifier la productivité des collaborateurssans sacrifier la productivité des collaborateurs

Protection réseauProtection réseau

Mail et IM plus sûrsMail et IM plus sûrs

Navigation Web Navigation Web plus sûreplus sûre

Protection contre lesProtection contre lesBuffer OverflowBuffer Overflow

Projet de déploiementProjet de déploiement

Projet de déploiement

Microsoft Solutions Framework

Compatibilité des applications

Revue et mise à jour de la politique de sécurité

Éducation et formation des utilisateurs

Déploiement en phases

Projet de déploiement

Équipes :Compatibilité, testsDéploiementSécuritéFormation et communication

Phases :Microsoft Solutions Framework

Projet de déploiementPhase Vision

Définir les paramètres du projetObjectifsÉquipesCalendriers

Identifier les applications et cas d’usage

Applications critiquesTop 10 installationsApplications Web / sites Web

Identifier le matérielDrivers critiquesDrivers les plus courants

Projet de déploiementPhase Planification 1/3

Équipe compatibilité, testsIdentifier les applications et cas d’usage (applications critiques, applications web)Identifier le matériel à tester

Équipe déploiementIdentifier les machines avec ressources suffisantesIdentifier les machines dial-up (OU, nom, IP, « tag »)Déterminer les besoins et l’impact réseauDévelopper une méthodologie de déploiement en phases

Définir des ensembles selon des critères raisonnablesPhases pilote, volontaire, obligatoire

Évaluer les options d’installationInstallateur compressé / fichiers d’installation décompressésDistribution : logiciel ou patchSlispstreaming

Identifier les pré requis (correctifs SMS 2003 ou SMS 2003 SP1)

Projet de déploiementPhase Planification 2/3

Équipe formation et communicationÉvaluer l’impact sur les « utilisateurs anxieux » : déploiement de correctifs de compatibilité, utilisateurs pilotes, formateurs internes

Équipe sécuritéÉvaluer les paramètres d’IE et du Windows Firewall

Analyser et évaluer les méthodes de configuration

Group Policies – documentation en ligne

Outils ligne de commande

Utilisation du fichier .inf du firewall

unattend.txt – personnalisation de l’installation

Scripting

Projet de déploiementPhase Planification 3/3

Équipe sécuritéDéterminer la configuration idéale (IE et WF)

Évaluer les compromis possibles

Évaluer l’impact et le support des machines hors domaine

Nécessite une approche par script ou ligne de commande

Identifier les besoins en rapports de conformitéCourt terme : inventaire SMS pour capturer les réglages par fournisseur (firewall, antivirus…)

Long terme : étendre l’inventaire SMS pour capturer l’information depuis le nouvel espace de nom « root/SecurityCenter »

Identifier, définir et implémenter les politiques d’exemption du Windows Firewall par GPO

Projet de déploiementPhase Développement

Équipe Compatibilité et testsTester les applications et périphériques identifiés avec le SP2

Tester les sites web identifiés

Actions correctives pour les applications et sites web qui posent problème

Créer des package pour le déploiement :Application Compatibility Database – sdbinst.exe

Mises à jour de drivers

Mises à jour applicatives (ne pas étendre trop le périmètre !)

Documenter les procédure de récupération

Base de données de compatibilité des applications (ACT)

Projet de déploiementPhase Développement

Équipe déploiementScripts d’installation, slipstreamRapports et tableaux de bord SMSCollections SMS, par phasesPackages de correctifs (infrastructure, drivers, applications)Simulation d’échecs (coupure réseau, coupure électrique, reboot pendant l’installation…)Gestion des exclusions et exceptionsDésinstallation des correctifs obsolètes

Projet de déploiementPhase Développement

Équipe SécuritéScripts de configuration du firewall

Autoriser le contrôle à distance SMS, l’assistance à distance

Scripts de configuration d’IEConsidérer la stratégie locale

Critères et procédures d’exception

Projet de déploiementPhase Stabilisation

Toutes les équipesDémarrer le déploiement pilote

Créer tous les packagesAnnonce du déploiement volontaireDéploiement obligatoire pour le groupe pilote

Surveiller le déploiementRapports web SMS, inventaireIncidents du help desk

Affiner le processusDéploiementConfigurationModification des scripts, packages

Projet de déploiementPhase Déploiement

Revue du déploiement pilote

Déploiement en phasesEntitésSegments WAN/LAN

Surveillance et ajustements si nécessaire

Limiter le nombre de machines par jour :

Capacité réseau et infrastructureCapacité du help deskNombre de problèmes rencontrés

Projet de déploiementProjet terminé

Compatibilité des applicationsCompatibilité des applications

Application Compatibility Toolkit (ACT) 4.0

Compatibilité des applicationsDomaine fonctionnel Statut

compatibilitéNX & /GS Expérience

utilisateur modifiéeGestion des pièces jointes

Pare-feu WindowsApplications, services

Configuration requise (peu d’applications)

DCOM & RPCLaunch and activation permissions, remote anonymous access, remote non-admin activation & launch, RPC requires authenticated access

Autres composantsInternet ExplorerPop-up blocker, auto download blocking, windows restrictions, MIME handling, binary behaviors, object caching, zone elevation, LMZ lockdown, mk:// protocol

Configuration requise (quelques applications)

Application Compatibility Toolkit (ACT)

Méthodes et informations pour résoudre les problèmes de compatibilité les plus courants

ACT 3.0http://www.microsoft.com/windowsserver2003/compatible/appcompat.mspx

ACT 4.0Spécifiquement conçu pour le SP2Pour les professionnelsBeta disponible :http://www.microsoft.com/windows/appcompatibility/act4beta.mspxVersion finale selon feedback de la beta

Application Compatibility Testing and Mitigation Guide for Windows XP Service Pack 2 (SP2)http://www.microsoft.com/technet/prodtechnol/winxppro/deploy/appcom/default.mspx

Méthodes de déploiementMéthodes de déploiement

Méthodes de déploiement

Mise à jour – systèmes existants

Installation intégrée (slipstream) – nouveaux systèmes

Outils et fichiers

http://go.microsoft.com/fwlink/?linkID=23354

WindowsXP-KB835935-SP2-ENU.exeWindowsXP-KB835935-SP2-FRA.exeXPSP2.EXE sur le CD

Update.exe (dans update\)

Windows Installer et Update.msi (dans update\)

Unattend.txt pour les installations intégrées

Outils et fichiers

Extraction : XPSP2.EXE /u /x:<chemin>

XPSP2.EXE /?

update\update.exe /?

Déploiement avec SMS 2.0

SMS 2.0 SP41. Créer le package SMS en important

le fichier de définition2. Fournir le chemin vers le SP2 dans le

package3. Distribuer le package vers les points

de distribution4. Créer une publication pour notifier

les clients5. Vérifier l’installation du SP2

(inventaire ou MBSA)

Déploiement avec SMS 20031. Créer les collections des systèmes

Windows XP cibles2. Créer le package SMS3. Créer le programme pour le package SMS4. Spécifier les points de distribution, et

copier le package sur les points de distribution

5. Créer une publication et sélectionner le package (2), le programme (3) et la collection (1)

6. Vérifier l’installation du SP2 à l’aide du rapport « Computers with a specific Operating System and Service Pack »Surveiller le statut de publication dans la console

Déploiement avec Windows Installer et une Group Policy1. Créer un dossier de distribution

partagé – permission lecture pour les utilisateurs et ordinateurs cibles – copier les fichiers du SP2 extraits (i386)

2. Créer un GPO pour le déploiement du SP2

3. Créer le package associé au GPO – dans la partie Ordinateur

4. Vérifier l’installation avec MBSA

Déploiement avec SUS

SUS 1.0 SP1

1. Télécharger le SP2 pour les langues utilisées sur le réseau

2. Définir les politiques d’installation du SP2 et autres mises à jour

3. Installer le SP2Approuver le SP2

4. Vérifier l’installation avec MBSA

Installation intégrée

1. Créer un répertoire de distributionmd d:\xpsp2\pro

2. Copier Windows XP Gold dans le répertoire xcopy [CD]:\ d:\xpsp2\pro /e

3. Extraire les fichiers du SP2WindowsXP-KB835935-SP2-FRA.exe /u /x:d:\temp

4. Intégrer le SP2 dans le répertoire de distributiond:\temp\i386\update\update.exe /integrate:d:\xpsp2\pro

5. Personnaliser l’installation de Windows XP

AdministrationAdministration

Nouveaux modèles d’administrationModèles :

system.adm (Windows 2000, XP, 2003)

inetres.adm (Internet Explorer)

conf.adm (NetMeeting 3.01)

wmplayer.adm (Windows Media Player)

wuau.adm (Automatic Updates)

Modèles d’administration

Nouveautés

Créer le GPO avec Active Directory Users and Computers ou GPMC

Éditer le GPO depuis un poste Windows XP SP2

Pour mettre à jour les .adm sur les DC

Correctif 842933 pour l’erreur « The following entry in the [strings] section is too long and has been truncated  » sur Windows Server 2003, 2000, XP SP1…http://support.microsoft.com/?id=842933

Nouveautés

Configuration du client AutoUpdate

Configuration du Centre de Sécurité

Configuration du Pare-feu Windows

Configuration d’Internet Explorer

Références

816662 - Recommendations for managing Group Policy administrative template (.adm) fileshttp://support.microsoft.com/?id=816662842933 - The following entry in the [strings] section is too long and has been truncated error message when you try to modify or to view GPOs in Windows Server 2003, Windows XP, or Windows 2000http://support.microsoft.com/?id=842933Group Policy Settings Reference for Windows XP Professional Service Pack 2http://go.microsoft.com/fwlink/?LinkId=22031

ConclusionConclusion

Références

Windows XP Service Pack 2 Resources for IT Professionalshttp://www.microsoft.com/technet/prodtechnol/winxpproWindows XP Service Pack 2 (SP2) for IT Professionalshttp://support.microsoft.com/gp/windowsxpsp2itDeploying Windows XP Service Pack 2 in Enterprise Environments – Windows XP Service Pack 2 Enterprise Planning Guidehttp://www.microsoft.com/technet/prodtechnol/winxppro/deploy/sp2entpl.mspx

© 2004 Microsoft Corporation. All rights reserved.This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.