Windows XP SP2Windows XP SP2et Windows Server 2003 SP1et Windows Server 2003 SP1

Windows XP SP2Windows XP SP2et Windows Server 2003 SP1et Windows Server 2003 SP1

Pascal SaulierePascal SauliereConsultant Principal Sécurité, Consultant Principal Sécurité, CISSPCISSPMicrosoft FranceMicrosoft France

La stratégie sécurité de La stratégie sécurité de MicrosoftMicrosoft

Authentification,Authentification,Autorisation,Autorisation,

AuditAuditExcellence Excellence

dedel’engineeringl’engineering

Conseils,Conseils,Outils,Outils,

RéponseRéponse

Mise à jourMise à jouravancéeavancée

Isolation et Isolation et résiliencerésilience

SommaireSommaire

Windows XP SP2Windows XP SP2

Windows Server 2003 SP1Windows Server 2003 SP1

Compatibilité des applicationsCompatibilité des applications

Déploiement et administrationDéploiement et administration

Windows XP SP2Windows XP SP2Réduction des modes d’attaqueRéduction des modes d’attaque

Communiquer et collaborer de manière plus sécuriséeCommuniquer et collaborer de manière plus sécuriséesans sacrifier la productivité des collaborateurssans sacrifier la productivité des collaborateurs

Protection réseauProtection réseau

Mail et IM plus sûrsMail et IM plus sûrs

Navigation Web Navigation Web

plus sûreplus sûre

MémoireMémoire

Pare-feu amélioréPare-feu amélioré

Configuration réseau RPC DCOM renforcéeConfiguration réseau RPC DCOM renforcée

Pièces jointesPièces jointes

ActiveX, pop-upActiveX, pop-up

Protection contre les Protection contre les Buffer OverflowBuffer Overflow

Réseau : pare-feu, DCOM, Réseau : pare-feu, DCOM, RPC…RPC…ObjectifsObjectifs

Fournir par défaut une meilleure protection contre Fournir par défaut une meilleure protection contre les attaques réseaules attaques réseauSystèmes nomades, PME, utilisateurs à la maisonSystèmes nomades, PME, utilisateurs à la maison

Ce que nous faisonsCe que nous faisonsServices Services AlerterAlerter et et MessengerMessenger désactivés par désactivés par défautdéfautPare-feu Windows en service par défautPare-feu Windows en service par défaut

Plus d’options de configuration – stratégies de groupe, Plus d’options de configuration – stratégies de groupe, ligne de commande (netsh), interface graphiqueligne de commande (netsh), interface graphiqueProtection lors du démarrageProtection lors du démarrageSupport de plusieurs profils – domaine et standardSupport de plusieurs profils – domaine et standard

Restriction des connexions anonymes pour Restriction des connexions anonymes pour DCOM/RPCDCOM/RPC

Impacts sur les applicationsImpacts sur les applicationsLes connexions réseau entrantes ne sont plus Les connexions réseau entrantes ne sont plus permises par défautpermises par défautLes ports qui écoutent ne sont ouverts que pendant Les ports qui écoutent ne sont ouverts que pendant que l’application s’exécuteque l’application s’exécute

Pièces jointes : OE, IE, IM…Pièces jointes : OE, IE, IM…ObjectifsObjectifs

Mécanisme système cohérent permettant de déterminer les Mécanisme système cohérent permettant de déterminer les attachements dangereuxattachements dangereuxExpérience cohérente lors de la décision de faire confiance à Expérience cohérente lors de la décision de faire confiance à un attachementun attachement

Ce que nous faisonsCe que nous faisonsCréer une nouvelle API publique pour gérer les attachements Créer une nouvelle API publique pour gérer les attachements sans danger (sans danger (Attachment Execution ServiceAttachment Execution Service))Par défaut, on ne fait pas confiance aux attachements Par défaut, on ne fait pas confiance aux attachements dangereuxdangereuxOutlook Express, Windows Messenger, IE modifiés pour Outlook Express, Windows Messenger, IE modifiés pour utiliser la nouvelle API utiliser la nouvelle API Ouvrir / exécuter les attachements avec le moins de Ouvrir / exécuter les attachements avec le moins de privilège possibleprivilège possiblePrévisualisation sans danger des messagesPrévisualisation sans danger des messagesRemplace AssocIsSafe()Remplace AssocIsSafe()

Impact sur les applicationsImpact sur les applicationsUtiliser les nouvelles API dans vos applications pour une Utiliser les nouvelles API dans vos applications pour une meilleure expérience utilisateur et une meilleure meilleure expérience utilisateur et une meilleure détermination du danger d’un contenudétermination du danger d’un contenuLes applications concernées par les attachements email Les applications concernées par les attachements email peuvent être impactéespeuvent être impactées

Navigation WebNavigation Web

ObjectifsObjectifsAssurer une expérience de navigation Web sécuriséeAssurer une expérience de navigation Web sécurisée

Ce que nous faisonsCe que nous faisonsVerrouiller les zones local machine et local intranetVerrouiller les zones local machine et local intranetAméliorer les notifications lors de l’exécution ou de Améliorer les notifications lors de l’exécution ou de l’installation de contrôles et d’applications ActiveXl’installation de contrôles et d’applications ActiveXDésarmer les attaques en cross domain script sur les APIDésarmer les attaques en cross domain script sur les APILimitation de l’usurpation d’interface utilisateurLimitation de l’usurpation d’interface utilisateurSuppression des fenêtres de pop-up sauf si elles sont lancées Suppression des fenêtres de pop-up sauf si elles sont lancées par une action utilisateurpar une action utilisateur

Impact sur les applicationsImpact sur les applicationsContrôler la compatibilité des applications Web avec le Contrôler la compatibilité des applications Web avec le nouveau paramétrage par défaut plus sécurisénouveau paramétrage par défaut plus sécuriséLes applications business qui utilisent les pop-ups peuvent Les applications business qui utilisent les pop-ups peuvent nécessiter un changement ou être ajoutées à la liste des nécessiter un changement ou être ajoutées à la liste des exceptionsexceptions

Protection contre l’exécution des Protection contre l’exécution des donnéesdonnées

ObjectifsObjectifsRéduire l’exposition à certains Réduire l’exposition à certains buffer overrunsbuffer overruns

Ce que nous faisonsCe que nous faisonsTirer parti du support hardware des processeurs 64 bits Tirer parti du support hardware des processeurs 64 bits et des derniers processeurs 32 bits pour ne permettre et des derniers processeurs 32 bits pour ne permettre l’exécution de code en mémoire que dans des régions l’exécution de code en mémoire que dans des régions spécifiquement marquées comme spécifiquement marquées comme executeexecuteRéduit l’exploitabilité des Réduit l’exploitabilité des buffer overrunsbuffer overrunsMis en service par défaut sur toutes les machines Mis en service par défaut sur toutes les machines capables de le faire pour les binaires Windowscapables de le faire pour les binaires Windows

Impact sur les applicationsImpact sur les applicationsAssurez-vous que votre application n’exécute par de Assurez-vous que votre application n’exécute par de code dans un segment code dans un segment datadataAssurez-vous que votre code s’exécute en mode PAE Assurez-vous que votre code s’exécute en mode PAE avec moins de 4 GO de RAMavec moins de 4 GO de RAMUtiliser VirtualAlloc avec PAGE_EXECUTE pour allouer de Utiliser VirtualAlloc avec PAGE_EXECUTE pour allouer de la mémoire utilisée pour y charger un exécutablela mémoire utilisée pour y charger un exécutableTester votre code sur des processeurs 64 bit et 32 bits Tester votre code sur des processeurs 64 bit et 32 bits avec avec execution protectionexecution protection

Autres améliorationsAutres améliorations

Nouveau « Centre de sécurité »Nouveau « Centre de sécurité »Amélioration du service de mise à Amélioration du service de mise à jour automatique des postesjour automatique des postesIntégration du nouveau client Intégration du nouveau client Windows Update Services Windows Update Services Nouveau client réseau sans fil Nouveau client réseau sans fil universeluniverselAméliorations Améliorations du client Bluetoothdu client BluetoothMise à jour Mise à jour de Windows Media Player 9de Windows Media Player 9

SommaireSommaire

Windows XP SP2Windows XP SP2

Windows Server 2003 SP1Windows Server 2003 SP1

Compatibilité des applicationsCompatibilité des applications

Déploiement et administrationDéploiement et administration

Objectifs de Windows Server Objectifs de Windows Server 2003 SP12003 SP1

Sécurité amélioréeSécurité amélioréeRéduction de la surface d’attaqueRéduction de la surface d’attaqueNouvelles amélioration de la sécuritéNouvelles amélioration de la sécurité

Configuration par défaut plus sûre et réduction des Configuration par défaut plus sûre et réduction des privilèges des services : RPC, DCOMprivilèges des services : RPC, DCOMSupport du matériel « No Execute » : Intel, AMDSupport du matériel « No Execute » : Intel, AMDPare-feu Windows activé par défaut : nouveau scénario Pare-feu Windows activé par défaut : nouveau scénario d’installationd’installationAssistant Configuration de la Sécurité (SCW) : Assistant Configuration de la Sécurité (SCW) : configuration et « verrouillage » par rôleconfiguration et « verrouillage » par rôleAudit de la Audit de la metabasemetabase IIS 6.0 IIS 6.0

Fiabilité amélioréeFiabilité amélioréePerformances amélioréesPerformances améliorées

Amélioration 10%+ pour TPC, TPC-H, SAP, SSL, Amélioration 10%+ pour TPC, TPC-H, SAP, SSL, etc.etc.

Fonctionnalités reprises deFonctionnalités reprises deWindows XP SP2Windows XP SP2

Pare-feu WindowsPare-feu WindowsConfiguration : Stratégies de groupes, ligne de commande, Configuration : Stratégies de groupes, ligne de commande, installation silencieuseinstallation silencieuseProtection au démarrageProtection au démarrageConfiguration selon le rôle du serveurConfiguration selon le rôle du serveur

Protection de RPC/DCOMProtection de RPC/DCOMObjets RPC exécutés avec des privilèges réduitsObjets RPC exécutés avec des privilèges réduitsNouvelles clés de registre RPCNouvelles clés de registre RPC

Permet aux applications serveurs de restreindre l’accès aux Permet aux applications serveurs de restreindre l’accès aux interfacesinterfaces

Restrictions d’accès DCOM complémentairesRestrictions d’accès DCOM complémentairesModèle d’authentification renforcéModèle d’authentification renforcéRéduction globale du risque lié aux attaquesRéduction globale du risque lié aux attaques

Les ports RPC et DCOM sont gérés comme un cas particulier Les ports RPC et DCOM sont gérés comme un cas particulier par le pare-feu Windowspar le pare-feu Windows

Mises à jour de sécurité post-Mises à jour de sécurité post-installation pour Windows installation pour Windows Server Server (PSSU – Post-Setup Security Updates)(PSSU – Post-Setup Security Updates)

Objectif : protéger le premier démarrage Objectif : protéger le premier démarrage et appliquer les derniers correctifs de et appliquer les derniers correctifs de sécuritésécurité

Exécuté au premier logon administrateur Exécuté au premier logon administrateur si le pare-feu Windows n’est pas activé si le pare-feu Windows n’est pas activé explicitement par le script d’installation ou explicitement par le script d’installation ou les stratégies de groupeles stratégies de groupe

Bloque les connexions entrantes jusqu’à Bloque les connexions entrantes jusqu’à ce que l’administrateur clique sur ce que l’administrateur clique sur « Terminer »« Terminer »

Mises à jour de sécurité post-Mises à jour de sécurité post-installation pour Windows installation pour Windows ServerServer

Mises à jour de sécurité post-Mises à jour de sécurité post-installation pour Windows installation pour Windows ServerServer

Lien vers Windows UpdateLien vers Windows Update

Possibilité de configurer les mises à jour Possibilité de configurer les mises à jour automatiques (Auto Update)automatiques (Auto Update)

Ré-exécuté si non terminé au premier Ré-exécuté si non terminé au premier redémarrageredémarrage

En cas de fermeture forcée (Alt+F4), En cas de fermeture forcée (Alt+F4), aucun changement n’est appliqué au aucun changement n’est appliqué au pare-feu, PSSU sera ré-exécuté au pare-feu, PSSU sera ré-exécuté au prochain logon administrateurprochain logon administrateur

Assistant Configuration de la Assistant Configuration de la SécuritéSécurité

Réduction de la surface d’attaque pour les serveurs Réduction de la surface d’attaque pour les serveurs WindowsWindows

Métaphore des rôlesMétaphore des rôlesDésactive les services non nécessairesDésactive les services non nécessairesDésactive les Extensions Web IIS non nécessairesDésactive les Extensions Web IIS non nécessairesBloque les ports non utilisés, y compris sur les systèmes à Bloque les ports non utilisés, y compris sur les systèmes à plusieurs cartes réseauplusieurs cartes réseauAide la sécurisation des ports laissés ouverts par IPsecAide la sécurisation des ports laissés ouverts par IPsecRéduit l’exposition des protocoles (signature Réduit l’exposition des protocoles (signature LDAP & SMB, LDAP & SMB, Compatibilité Lan Man et LMHash…)Compatibilité Lan Man et LMHash…)Configure l’audit (SACLs)Configure l’audit (SACLs)Possibilité d’import de modèles SCEPossibilité d’import de modèles SCE

Sécurité simplifiéeSécurité simplifiéeLes rôles simplifient les décisionsLes rôles simplifient les décisionsProcessus automatisé par rapport à de la documentation Processus automatisé par rapport à de la documentation détailléedétailléeEntièrement testé et supporté par MicrosoftEntièrement testé et supporté par Microsoft

Opérations liées à SCWOpérations liées à SCW

Retour en arrière en cas d’interruption de Retour en arrière en cas d’interruption de service imprévueservice imprévueAnalyse, pour vérifier la conformité des Analyse, pour vérifier la conformité des machines par rapport aux stratégiesmachines par rapport aux stratégiesConfiguration et analyse à distanceConfiguration et analyse à distanceLigne de commande pour configuration et Ligne de commande pour configuration et analyse à distance et en masseanalyse à distance et en masseIntégration à Active Directory pour un Intégration à Active Directory pour un déploiement par stratégies de groupedéploiement par stratégies de groupePossibilité d’éditer les stratégies créées, Possibilité d’éditer les stratégies créées, lorsque les machines sont réaffectéeslorsque les machines sont réaffectéesVues XSL de la Base de Connaissances, des Vues XSL de la Base de Connaissances, des stratégies et des résultats d’analysestratégies et des résultats d’analyse

Windows Server 2003 SP1Windows Server 2003 SP1Quelques autres nouveautésQuelques autres nouveautés

Access-based EnumerationAccess-based Enumeration – ne montrer aux – ne montrer aux utilisateurs que les fichiers et répertoires utilisateurs que les fichiers et répertoires auxquels ils ont accès. Outil de configuration :auxquels ils ont accès. Outil de configuration :http://go.microsoft.com/?linkid=2726554http://go.microsoft.com/?linkid=2726554

RRAS : support des outils de quarantaine RRAS : support des outils de quarantaine (rqc/rqs)(rqc/rqs)

Terminal Services : utilisation de SSL/TLS 1.0 Terminal Services : utilisation de SSL/TLS 1.0 pour l’authentification du serveur et le pour l’authentification du serveur et le chiffrement (client RDP 5.2 sur Windows chiffrement (client RDP 5.2 sur Windows 2000, XP, 2003)2000, XP, 2003)What’s New in TSWhat’s New in TS : http://go.microsoft.com/? : http://go.microsoft.com/?linkid=2700421linkid=2700421

RéférencesRéférences

Changes to Functionality in Microsoft Changes to Functionality in Microsoft Windows Server 2003 Service Pack 1Windows Server 2003 Service Pack 1http://www.microsoft.com/downloads/details.http://www.microsoft.com/downloads/details.aspx?FamilyID=c3c26254-8ce3-46e2-b1b6-aspx?FamilyID=c3c26254-8ce3-46e2-b1b6-3659b92b2cde&DisplayLang=en3659b92b2cde&DisplayLang=en(anglais)(anglais)

Changes to Functionality in Microsoft Changes to Functionality in Microsoft Windows XP Service Pack 2Windows XP Service Pack 2http://www.microsoft.com/technet/prodtechnhttp://www.microsoft.com/technet/prodtechnol/winxppro/maintain/sp2chngs.mspxol/winxppro/maintain/sp2chngs.mspx(anglais, français)(anglais, français)

SommaireSommaire

Windows XP SP2Windows XP SP2

Windows Server 2003 SP1Windows Server 2003 SP1

Compatibilité des applicationsCompatibilité des applications

Déploiement et administrationDéploiement et administration

Compatibilité des applicationsCompatibilité des applications

Domaine fonctionnelDomaine fonctionnel Statut Statut compatibilitécompatibilité

NX & /GSNX & /GS Expérience Expérience utilisateur utilisateur modifiéemodifiéeGestion des pièces jointesGestion des pièces jointes

Pare-feu WindowsPare-feu WindowsApplications, servicesApplications, services

Configuration Configuration requise (peu requise (peu d’applications)d’applications)

DCOM & RPCDCOM & RPCLaunch and activation permissions, remote Launch and activation permissions, remote anonymous access, remote non-admin anonymous access, remote non-admin activation & launch, RPC requires activation & launch, RPC requires authenticated accessauthenticated access

Autres composantsAutres composantsInternet ExplorerInternet ExplorerPop-up blocker, auto download blocking, Pop-up blocker, auto download blocking, windows restrictions, MIME handling, binary windows restrictions, MIME handling, binary behaviors, object caching, zone elevation, behaviors, object caching, zone elevation, LMZ lockdown, mk:// protocolLMZ lockdown, mk:// protocol

Configuration Configuration requise (quelques requise (quelques applications)applications)

Application Compatibility Application Compatibility Toolkit (ACT)Toolkit (ACT)

ACT 4.0 (mars 2005)ACT 4.0 (mars 2005)Spécifiquement conçu pour le SP2Spécifiquement conçu pour le SP2

Pour les professionnelsPour les professionnels

Disponible :Disponible :http://www.microsoft.com/technet/prodtechnol/winhttp://www.microsoft.com/technet/prodtechnol/windows/appcompatibility/default.mspxdows/appcompatibility/default.mspx

Application Compatibility Testing and Application Compatibility Testing and Mitigation Guide for Windows XP Service Pack Mitigation Guide for Windows XP Service Pack 2 (SP2)2 (SP2)http://www.microsoft.com/technet/prodtechnhttp://www.microsoft.com/technet/prodtechnol/winxppro/deploy/appcom/default.mspxol/winxppro/deploy/appcom/default.mspx

SommaireSommaire

Windows XP SP2Windows XP SP2

Windows Server 2003 SP1Windows Server 2003 SP1

Compatibilité des applicationsCompatibilité des applications

Déploiement et administrationDéploiement et administration

Projet de déploiementProjet de déploiement

Points clésPoints clés

Le déploiement de XP SP2 est un événement Le déploiement de XP SP2 est un événement majeurmajeur

Traitez-le comme un mini déploiement d’OSTraitez-le comme un mini déploiement d’OS

Testez, testez, testez !Testez, testez, testez !

Les utilisateurs seront impactésLes utilisateurs seront impactésFormation et communicationFormation et communication

Profitez de SMS 2003 pour minimiser l’impact Profitez de SMS 2003 pour minimiser l’impact du déploiementdu déploiement

Profitez d’Active Directory pour Profitez d’Active Directory pour l’administrationl’administration

Points clés du projetPoints clés du projet

Gestion de projetGestion de projet

Compatibilité des applicationsCompatibilité des applications

Revue et mise à jour de la politique de Revue et mise à jour de la politique de sécuritésécurité

Éducation et formation des utilisateursÉducation et formation des utilisateurs

Déploiement en phasesDéploiement en phases

Méthodes de déploiementMéthodes de déploiement

Mise à jour – systèmes existantsMise à jour – systèmes existants

Installation intégrée (Installation intégrée (slipstreamslipstream) – ) – nouveaux systèmesnouveaux systèmes

Outils et fichiers (XP SP2)Outils et fichiers (XP SP2)

http://go.microsoft.com/fwlink/?linkID=23354http://go.microsoft.com/fwlink/?linkID=23354

WindowsXP-KB835935-SP2-ENU.exeWindowsXP-KB835935-SP2-ENU.exeWindowsXP-KB835935-SP2-FRA.exeWindowsXP-KB835935-SP2-FRA.exeXPSP2.EXE sur le CDXPSP2.EXE sur le CD

Update.exe (dans update\)Update.exe (dans update\)

Windows Installer et Update.msi (dans Windows Installer et Update.msi (dans update\)update\)

Unattend.txt pour les installations Unattend.txt pour les installations intégréesintégrées

Outils et fichiersOutils et fichiers

Extraction : Extraction : XPSP2.EXE /u /x:<chemin>XPSP2.EXE /u /x:<chemin>

XPSP2.EXE /?

update\update.exe /?

Déploiement mise à jourDéploiement mise à jour

SMS 2.0SMS 2.0

SMS 2003SMS 2003

Autres systèmes de télédistributionAutres systèmes de télédistribution

Exemple :Exemple :update.exe /quiet /forcerestartupdate.exe /quiet /forcerestart

Stratégie de Groupe, update.msiStratégie de Groupe, update.msi

SUS [WSUS]SUS [WSUS]

Installation intégréeInstallation intégrée

1.1. Créer un répertoire de distributionCréer un répertoire de distributionmd d:\xpsp2\promd d:\xpsp2\pro

2.2. Copier Windows XP Copier Windows XP GOLDGOLD dans le dans le répertoire répertoire xcopy [CD]:\ d:\xpsp2\pro /excopy [CD]:\ d:\xpsp2\pro /e

3.3. Extraire les fichiers du SP2Extraire les fichiers du SP2WindowsXP-KB835935-SP2-FRA.exe /u /x:d:\tempWindowsXP-KB835935-SP2-FRA.exe /u /x:d:\temp

4.4. Intégrer le SP2 dans le répertoire de Intégrer le SP2 dans le répertoire de distributiondistributiond:\temp\i386\update\update.exe /integrate:d:\xpsp2\prod:\temp\i386\update\update.exe /integrate:d:\xpsp2\pro

5.5. Personnaliser l’installation de Personnaliser l’installation de Windows XPWindows XP

Nouveaux modèles Nouveaux modèles d’administrationd’administration

Modèles :Modèles :

system.adm (Windows 2000, XP, 2003)system.adm (Windows 2000, XP, 2003)

inetres.adm (Internet Explorer)inetres.adm (Internet Explorer)

conf.adm (NetMeeting 3.01)conf.adm (NetMeeting 3.01)

wmplayer.adm (Windows Media Player)wmplayer.adm (Windows Media Player)

wuau.adm (Automatic Updates)wuau.adm (Automatic Updates)

Modèles d’administrationModèles d’administration

NouveautésNouveautés

Configuration du client AutoUpdateConfiguration du client AutoUpdate

Configuration du Centre de SécuritéConfiguration du Centre de Sécurité

Configuration du Pare-feu WindowsConfiguration du Pare-feu Windows

Configuration d’Internet ExplorerConfiguration d’Internet Explorer

Configuration des réseaux sans fil avec Configuration des réseaux sans fil avec WPA, WPA-PSK, TKIPWPA, WPA-PSK, TKIP

RéférencesRéférences

816662816662 - Recommendations for managing - Recommendations for managing Group Policy administrative template (.adm) Group Policy administrative template (.adm) filesfileshttp://support.microsoft.com/kb/816662http://support.microsoft.com/kb/816662

842933842933 - The following entry in the [strings] - The following entry in the [strings] section is too long and has been truncated section is too long and has been truncated error message when you try to modify or to error message when you try to modify or to view GPOs in Windows Server 2003, view GPOs in Windows Server 2003, Windows XP, or Windows 2000Windows XP, or Windows 2000http://support.microsoft.com/kb/842933http://support.microsoft.com/kb/842933

Group Policy Settings Reference for Windows Group Policy Settings Reference for Windows XP Professional Service Pack 2XP Professional Service Pack 2http://go.microsoft.com/fwlink/?http://go.microsoft.com/fwlink/?LinkId=22031LinkId=22031

Microsoft FranceMicrosoft France18, avenue du Québec18, avenue du Québec

91 957 Courtaboeuf Cedex91 957 Courtaboeuf Cedex

www.microsoft.com/france

0 825 827 8290 825 827 829

msfrance@microsoft.commsfrance@microsoft.com