Windows XP SP2Windows XP SP2et Windows Server 2003 SP1et Windows Server 2003 SP1
Windows XP SP2Windows XP SP2et Windows Server 2003 SP1et Windows Server 2003 SP1
Pascal SaulierePascal SauliereConsultant Principal Sécurité, Consultant Principal Sécurité, CISSPCISSPMicrosoft FranceMicrosoft France
La stratégie sécurité de La stratégie sécurité de MicrosoftMicrosoft
Authentification,Authentification,Autorisation,Autorisation,
AuditAuditExcellence Excellence
dedel’engineeringl’engineering
Conseils,Conseils,Outils,Outils,
RéponseRéponse
Mise à jourMise à jouravancéeavancée
Isolation et Isolation et résiliencerésilience
SommaireSommaire
Windows XP SP2Windows XP SP2
Windows Server 2003 SP1Windows Server 2003 SP1
Compatibilité des applicationsCompatibilité des applications
Déploiement et administrationDéploiement et administration
Windows XP SP2Windows XP SP2Réduction des modes d’attaqueRéduction des modes d’attaque
Communiquer et collaborer de manière plus sécuriséeCommuniquer et collaborer de manière plus sécuriséesans sacrifier la productivité des collaborateurssans sacrifier la productivité des collaborateurs
Protection réseauProtection réseau
Mail et IM plus sûrsMail et IM plus sûrs
Navigation Web Navigation Web
plus sûreplus sûre
MémoireMémoire
Pare-feu amélioréPare-feu amélioré
Configuration réseau RPC DCOM renforcéeConfiguration réseau RPC DCOM renforcée
Pièces jointesPièces jointes
ActiveX, pop-upActiveX, pop-up
Protection contre les Protection contre les Buffer OverflowBuffer Overflow
Réseau : pare-feu, DCOM, Réseau : pare-feu, DCOM, RPC…RPC…ObjectifsObjectifs
Fournir par défaut une meilleure protection contre Fournir par défaut une meilleure protection contre les attaques réseaules attaques réseauSystèmes nomades, PME, utilisateurs à la maisonSystèmes nomades, PME, utilisateurs à la maison
Ce que nous faisonsCe que nous faisonsServices Services AlerterAlerter et et MessengerMessenger désactivés par désactivés par défautdéfautPare-feu Windows en service par défautPare-feu Windows en service par défaut
Plus d’options de configuration – stratégies de groupe, Plus d’options de configuration – stratégies de groupe, ligne de commande (netsh), interface graphiqueligne de commande (netsh), interface graphiqueProtection lors du démarrageProtection lors du démarrageSupport de plusieurs profils – domaine et standardSupport de plusieurs profils – domaine et standard
Restriction des connexions anonymes pour Restriction des connexions anonymes pour DCOM/RPCDCOM/RPC
Impacts sur les applicationsImpacts sur les applicationsLes connexions réseau entrantes ne sont plus Les connexions réseau entrantes ne sont plus permises par défautpermises par défautLes ports qui écoutent ne sont ouverts que pendant Les ports qui écoutent ne sont ouverts que pendant que l’application s’exécuteque l’application s’exécute
Pièces jointes : OE, IE, IM…Pièces jointes : OE, IE, IM…ObjectifsObjectifs
Mécanisme système cohérent permettant de déterminer les Mécanisme système cohérent permettant de déterminer les attachements dangereuxattachements dangereuxExpérience cohérente lors de la décision de faire confiance à Expérience cohérente lors de la décision de faire confiance à un attachementun attachement
Ce que nous faisonsCe que nous faisonsCréer une nouvelle API publique pour gérer les attachements Créer une nouvelle API publique pour gérer les attachements sans danger (sans danger (Attachment Execution ServiceAttachment Execution Service))Par défaut, on ne fait pas confiance aux attachements Par défaut, on ne fait pas confiance aux attachements dangereuxdangereuxOutlook Express, Windows Messenger, IE modifiés pour Outlook Express, Windows Messenger, IE modifiés pour utiliser la nouvelle API utiliser la nouvelle API Ouvrir / exécuter les attachements avec le moins de Ouvrir / exécuter les attachements avec le moins de privilège possibleprivilège possiblePrévisualisation sans danger des messagesPrévisualisation sans danger des messagesRemplace AssocIsSafe()Remplace AssocIsSafe()
Impact sur les applicationsImpact sur les applicationsUtiliser les nouvelles API dans vos applications pour une Utiliser les nouvelles API dans vos applications pour une meilleure expérience utilisateur et une meilleure meilleure expérience utilisateur et une meilleure détermination du danger d’un contenudétermination du danger d’un contenuLes applications concernées par les attachements email Les applications concernées par les attachements email peuvent être impactéespeuvent être impactées
Navigation WebNavigation Web
ObjectifsObjectifsAssurer une expérience de navigation Web sécuriséeAssurer une expérience de navigation Web sécurisée
Ce que nous faisonsCe que nous faisonsVerrouiller les zones local machine et local intranetVerrouiller les zones local machine et local intranetAméliorer les notifications lors de l’exécution ou de Améliorer les notifications lors de l’exécution ou de l’installation de contrôles et d’applications ActiveXl’installation de contrôles et d’applications ActiveXDésarmer les attaques en cross domain script sur les APIDésarmer les attaques en cross domain script sur les APILimitation de l’usurpation d’interface utilisateurLimitation de l’usurpation d’interface utilisateurSuppression des fenêtres de pop-up sauf si elles sont lancées Suppression des fenêtres de pop-up sauf si elles sont lancées par une action utilisateurpar une action utilisateur
Impact sur les applicationsImpact sur les applicationsContrôler la compatibilité des applications Web avec le Contrôler la compatibilité des applications Web avec le nouveau paramétrage par défaut plus sécurisénouveau paramétrage par défaut plus sécuriséLes applications business qui utilisent les pop-ups peuvent Les applications business qui utilisent les pop-ups peuvent nécessiter un changement ou être ajoutées à la liste des nécessiter un changement ou être ajoutées à la liste des exceptionsexceptions
Protection contre l’exécution des Protection contre l’exécution des donnéesdonnées
ObjectifsObjectifsRéduire l’exposition à certains Réduire l’exposition à certains buffer overrunsbuffer overruns
Ce que nous faisonsCe que nous faisonsTirer parti du support hardware des processeurs 64 bits Tirer parti du support hardware des processeurs 64 bits et des derniers processeurs 32 bits pour ne permettre et des derniers processeurs 32 bits pour ne permettre l’exécution de code en mémoire que dans des régions l’exécution de code en mémoire que dans des régions spécifiquement marquées comme spécifiquement marquées comme executeexecuteRéduit l’exploitabilité des Réduit l’exploitabilité des buffer overrunsbuffer overrunsMis en service par défaut sur toutes les machines Mis en service par défaut sur toutes les machines capables de le faire pour les binaires Windowscapables de le faire pour les binaires Windows
Impact sur les applicationsImpact sur les applicationsAssurez-vous que votre application n’exécute par de Assurez-vous que votre application n’exécute par de code dans un segment code dans un segment datadataAssurez-vous que votre code s’exécute en mode PAE Assurez-vous que votre code s’exécute en mode PAE avec moins de 4 GO de RAMavec moins de 4 GO de RAMUtiliser VirtualAlloc avec PAGE_EXECUTE pour allouer de Utiliser VirtualAlloc avec PAGE_EXECUTE pour allouer de la mémoire utilisée pour y charger un exécutablela mémoire utilisée pour y charger un exécutableTester votre code sur des processeurs 64 bit et 32 bits Tester votre code sur des processeurs 64 bit et 32 bits avec avec execution protectionexecution protection
Autres améliorationsAutres améliorations
Nouveau « Centre de sécurité »Nouveau « Centre de sécurité »Amélioration du service de mise à Amélioration du service de mise à jour automatique des postesjour automatique des postesIntégration du nouveau client Intégration du nouveau client Windows Update Services Windows Update Services Nouveau client réseau sans fil Nouveau client réseau sans fil universeluniverselAméliorations Améliorations du client Bluetoothdu client BluetoothMise à jour Mise à jour de Windows Media Player 9de Windows Media Player 9
SommaireSommaire
Windows XP SP2Windows XP SP2
Windows Server 2003 SP1Windows Server 2003 SP1
Compatibilité des applicationsCompatibilité des applications
Déploiement et administrationDéploiement et administration
Objectifs de Windows Server Objectifs de Windows Server 2003 SP12003 SP1
Sécurité amélioréeSécurité amélioréeRéduction de la surface d’attaqueRéduction de la surface d’attaqueNouvelles amélioration de la sécuritéNouvelles amélioration de la sécurité
Configuration par défaut plus sûre et réduction des Configuration par défaut plus sûre et réduction des privilèges des services : RPC, DCOMprivilèges des services : RPC, DCOMSupport du matériel « No Execute » : Intel, AMDSupport du matériel « No Execute » : Intel, AMDPare-feu Windows activé par défaut : nouveau scénario Pare-feu Windows activé par défaut : nouveau scénario d’installationd’installationAssistant Configuration de la Sécurité (SCW) : Assistant Configuration de la Sécurité (SCW) : configuration et « verrouillage » par rôleconfiguration et « verrouillage » par rôleAudit de la Audit de la metabasemetabase IIS 6.0 IIS 6.0
Fiabilité amélioréeFiabilité amélioréePerformances amélioréesPerformances améliorées
Amélioration 10%+ pour TPC, TPC-H, SAP, SSL, Amélioration 10%+ pour TPC, TPC-H, SAP, SSL, etc.etc.
Fonctionnalités reprises deFonctionnalités reprises deWindows XP SP2Windows XP SP2
Pare-feu WindowsPare-feu WindowsConfiguration : Stratégies de groupes, ligne de commande, Configuration : Stratégies de groupes, ligne de commande, installation silencieuseinstallation silencieuseProtection au démarrageProtection au démarrageConfiguration selon le rôle du serveurConfiguration selon le rôle du serveur
Protection de RPC/DCOMProtection de RPC/DCOMObjets RPC exécutés avec des privilèges réduitsObjets RPC exécutés avec des privilèges réduitsNouvelles clés de registre RPCNouvelles clés de registre RPC
Permet aux applications serveurs de restreindre l’accès aux Permet aux applications serveurs de restreindre l’accès aux interfacesinterfaces
Restrictions d’accès DCOM complémentairesRestrictions d’accès DCOM complémentairesModèle d’authentification renforcéModèle d’authentification renforcéRéduction globale du risque lié aux attaquesRéduction globale du risque lié aux attaques
Les ports RPC et DCOM sont gérés comme un cas particulier Les ports RPC et DCOM sont gérés comme un cas particulier par le pare-feu Windowspar le pare-feu Windows
Mises à jour de sécurité post-Mises à jour de sécurité post-installation pour Windows installation pour Windows Server Server (PSSU – Post-Setup Security Updates)(PSSU – Post-Setup Security Updates)
Objectif : protéger le premier démarrage Objectif : protéger le premier démarrage et appliquer les derniers correctifs de et appliquer les derniers correctifs de sécuritésécurité
Exécuté au premier logon administrateur Exécuté au premier logon administrateur si le pare-feu Windows n’est pas activé si le pare-feu Windows n’est pas activé explicitement par le script d’installation ou explicitement par le script d’installation ou les stratégies de groupeles stratégies de groupe
Bloque les connexions entrantes jusqu’à Bloque les connexions entrantes jusqu’à ce que l’administrateur clique sur ce que l’administrateur clique sur « Terminer »« Terminer »
Mises à jour de sécurité post-Mises à jour de sécurité post-installation pour Windows installation pour Windows ServerServer
Mises à jour de sécurité post-Mises à jour de sécurité post-installation pour Windows installation pour Windows ServerServer
Lien vers Windows UpdateLien vers Windows Update
Possibilité de configurer les mises à jour Possibilité de configurer les mises à jour automatiques (Auto Update)automatiques (Auto Update)
Ré-exécuté si non terminé au premier Ré-exécuté si non terminé au premier redémarrageredémarrage
En cas de fermeture forcée (Alt+F4), En cas de fermeture forcée (Alt+F4), aucun changement n’est appliqué au aucun changement n’est appliqué au pare-feu, PSSU sera ré-exécuté au pare-feu, PSSU sera ré-exécuté au prochain logon administrateurprochain logon administrateur
Assistant Configuration de la Assistant Configuration de la SécuritéSécurité
Réduction de la surface d’attaque pour les serveurs Réduction de la surface d’attaque pour les serveurs WindowsWindows
Métaphore des rôlesMétaphore des rôlesDésactive les services non nécessairesDésactive les services non nécessairesDésactive les Extensions Web IIS non nécessairesDésactive les Extensions Web IIS non nécessairesBloque les ports non utilisés, y compris sur les systèmes à Bloque les ports non utilisés, y compris sur les systèmes à plusieurs cartes réseauplusieurs cartes réseauAide la sécurisation des ports laissés ouverts par IPsecAide la sécurisation des ports laissés ouverts par IPsecRéduit l’exposition des protocoles (signature Réduit l’exposition des protocoles (signature LDAP & SMB, LDAP & SMB, Compatibilité Lan Man et LMHash…)Compatibilité Lan Man et LMHash…)Configure l’audit (SACLs)Configure l’audit (SACLs)Possibilité d’import de modèles SCEPossibilité d’import de modèles SCE
Sécurité simplifiéeSécurité simplifiéeLes rôles simplifient les décisionsLes rôles simplifient les décisionsProcessus automatisé par rapport à de la documentation Processus automatisé par rapport à de la documentation détailléedétailléeEntièrement testé et supporté par MicrosoftEntièrement testé et supporté par Microsoft
Opérations liées à SCWOpérations liées à SCW
Retour en arrière en cas d’interruption de Retour en arrière en cas d’interruption de service imprévueservice imprévueAnalyse, pour vérifier la conformité des Analyse, pour vérifier la conformité des machines par rapport aux stratégiesmachines par rapport aux stratégiesConfiguration et analyse à distanceConfiguration et analyse à distanceLigne de commande pour configuration et Ligne de commande pour configuration et analyse à distance et en masseanalyse à distance et en masseIntégration à Active Directory pour un Intégration à Active Directory pour un déploiement par stratégies de groupedéploiement par stratégies de groupePossibilité d’éditer les stratégies créées, Possibilité d’éditer les stratégies créées, lorsque les machines sont réaffectéeslorsque les machines sont réaffectéesVues XSL de la Base de Connaissances, des Vues XSL de la Base de Connaissances, des stratégies et des résultats d’analysestratégies et des résultats d’analyse
Windows Server 2003 SP1Windows Server 2003 SP1Quelques autres nouveautésQuelques autres nouveautés
Access-based EnumerationAccess-based Enumeration – ne montrer aux – ne montrer aux utilisateurs que les fichiers et répertoires utilisateurs que les fichiers et répertoires auxquels ils ont accès. Outil de configuration :auxquels ils ont accès. Outil de configuration :http://go.microsoft.com/?linkid=2726554http://go.microsoft.com/?linkid=2726554
RRAS : support des outils de quarantaine RRAS : support des outils de quarantaine (rqc/rqs)(rqc/rqs)
Terminal Services : utilisation de SSL/TLS 1.0 Terminal Services : utilisation de SSL/TLS 1.0 pour l’authentification du serveur et le pour l’authentification du serveur et le chiffrement (client RDP 5.2 sur Windows chiffrement (client RDP 5.2 sur Windows 2000, XP, 2003)2000, XP, 2003)What’s New in TSWhat’s New in TS : http://go.microsoft.com/? : http://go.microsoft.com/?linkid=2700421linkid=2700421
RéférencesRéférences
Changes to Functionality in Microsoft Changes to Functionality in Microsoft Windows Server 2003 Service Pack 1Windows Server 2003 Service Pack 1http://www.microsoft.com/downloads/details.http://www.microsoft.com/downloads/details.aspx?FamilyID=c3c26254-8ce3-46e2-b1b6-aspx?FamilyID=c3c26254-8ce3-46e2-b1b6-3659b92b2cde&DisplayLang=en3659b92b2cde&DisplayLang=en(anglais)(anglais)
Changes to Functionality in Microsoft Changes to Functionality in Microsoft Windows XP Service Pack 2Windows XP Service Pack 2http://www.microsoft.com/technet/prodtechnhttp://www.microsoft.com/technet/prodtechnol/winxppro/maintain/sp2chngs.mspxol/winxppro/maintain/sp2chngs.mspx(anglais, français)(anglais, français)
SommaireSommaire
Windows XP SP2Windows XP SP2
Windows Server 2003 SP1Windows Server 2003 SP1
Compatibilité des applicationsCompatibilité des applications
Déploiement et administrationDéploiement et administration
Compatibilité des applicationsCompatibilité des applications
Domaine fonctionnelDomaine fonctionnel Statut Statut compatibilitécompatibilité
NX & /GSNX & /GS Expérience Expérience utilisateur utilisateur modifiéemodifiéeGestion des pièces jointesGestion des pièces jointes
Pare-feu WindowsPare-feu WindowsApplications, servicesApplications, services
Configuration Configuration requise (peu requise (peu d’applications)d’applications)
DCOM & RPCDCOM & RPCLaunch and activation permissions, remote Launch and activation permissions, remote anonymous access, remote non-admin anonymous access, remote non-admin activation & launch, RPC requires activation & launch, RPC requires authenticated accessauthenticated access
Autres composantsAutres composantsInternet ExplorerInternet ExplorerPop-up blocker, auto download blocking, Pop-up blocker, auto download blocking, windows restrictions, MIME handling, binary windows restrictions, MIME handling, binary behaviors, object caching, zone elevation, behaviors, object caching, zone elevation, LMZ lockdown, mk:// protocolLMZ lockdown, mk:// protocol
Configuration Configuration requise (quelques requise (quelques applications)applications)
Application Compatibility Application Compatibility Toolkit (ACT)Toolkit (ACT)
ACT 4.0 (mars 2005)ACT 4.0 (mars 2005)Spécifiquement conçu pour le SP2Spécifiquement conçu pour le SP2
Pour les professionnelsPour les professionnels
Disponible :Disponible :http://www.microsoft.com/technet/prodtechnol/winhttp://www.microsoft.com/technet/prodtechnol/windows/appcompatibility/default.mspxdows/appcompatibility/default.mspx
Application Compatibility Testing and Application Compatibility Testing and Mitigation Guide for Windows XP Service Pack Mitigation Guide for Windows XP Service Pack 2 (SP2)2 (SP2)http://www.microsoft.com/technet/prodtechnhttp://www.microsoft.com/technet/prodtechnol/winxppro/deploy/appcom/default.mspxol/winxppro/deploy/appcom/default.mspx
SommaireSommaire
Windows XP SP2Windows XP SP2
Windows Server 2003 SP1Windows Server 2003 SP1
Compatibilité des applicationsCompatibilité des applications
Déploiement et administrationDéploiement et administration
Projet de déploiementProjet de déploiement
Points clésPoints clés
Le déploiement de XP SP2 est un événement Le déploiement de XP SP2 est un événement majeurmajeur
Traitez-le comme un mini déploiement d’OSTraitez-le comme un mini déploiement d’OS
Testez, testez, testez !Testez, testez, testez !
Les utilisateurs seront impactésLes utilisateurs seront impactésFormation et communicationFormation et communication
Profitez de SMS 2003 pour minimiser l’impact Profitez de SMS 2003 pour minimiser l’impact du déploiementdu déploiement
Profitez d’Active Directory pour Profitez d’Active Directory pour l’administrationl’administration
Points clés du projetPoints clés du projet
Gestion de projetGestion de projet
Compatibilité des applicationsCompatibilité des applications
Revue et mise à jour de la politique de Revue et mise à jour de la politique de sécuritésécurité
Éducation et formation des utilisateursÉducation et formation des utilisateurs
Déploiement en phasesDéploiement en phases
Méthodes de déploiementMéthodes de déploiement
Mise à jour – systèmes existantsMise à jour – systèmes existants
Installation intégrée (Installation intégrée (slipstreamslipstream) – ) – nouveaux systèmesnouveaux systèmes
Outils et fichiers (XP SP2)Outils et fichiers (XP SP2)
http://go.microsoft.com/fwlink/?linkID=23354http://go.microsoft.com/fwlink/?linkID=23354
WindowsXP-KB835935-SP2-ENU.exeWindowsXP-KB835935-SP2-ENU.exeWindowsXP-KB835935-SP2-FRA.exeWindowsXP-KB835935-SP2-FRA.exeXPSP2.EXE sur le CDXPSP2.EXE sur le CD
Update.exe (dans update\)Update.exe (dans update\)
Windows Installer et Update.msi (dans Windows Installer et Update.msi (dans update\)update\)
Unattend.txt pour les installations Unattend.txt pour les installations intégréesintégrées
Outils et fichiersOutils et fichiers
Extraction : Extraction : XPSP2.EXE /u /x:<chemin>XPSP2.EXE /u /x:<chemin>
XPSP2.EXE /?
update\update.exe /?
Déploiement mise à jourDéploiement mise à jour
SMS 2.0SMS 2.0
SMS 2003SMS 2003
Autres systèmes de télédistributionAutres systèmes de télédistribution
Exemple :Exemple :update.exe /quiet /forcerestartupdate.exe /quiet /forcerestart
Stratégie de Groupe, update.msiStratégie de Groupe, update.msi
SUS [WSUS]SUS [WSUS]
Installation intégréeInstallation intégrée
1.1. Créer un répertoire de distributionCréer un répertoire de distributionmd d:\xpsp2\promd d:\xpsp2\pro
2.2. Copier Windows XP Copier Windows XP GOLDGOLD dans le dans le répertoire répertoire xcopy [CD]:\ d:\xpsp2\pro /excopy [CD]:\ d:\xpsp2\pro /e
3.3. Extraire les fichiers du SP2Extraire les fichiers du SP2WindowsXP-KB835935-SP2-FRA.exe /u /x:d:\tempWindowsXP-KB835935-SP2-FRA.exe /u /x:d:\temp
4.4. Intégrer le SP2 dans le répertoire de Intégrer le SP2 dans le répertoire de distributiondistributiond:\temp\i386\update\update.exe /integrate:d:\xpsp2\prod:\temp\i386\update\update.exe /integrate:d:\xpsp2\pro
5.5. Personnaliser l’installation de Personnaliser l’installation de Windows XPWindows XP
Nouveaux modèles Nouveaux modèles d’administrationd’administration
Modèles :Modèles :
system.adm (Windows 2000, XP, 2003)system.adm (Windows 2000, XP, 2003)
inetres.adm (Internet Explorer)inetres.adm (Internet Explorer)
conf.adm (NetMeeting 3.01)conf.adm (NetMeeting 3.01)
wmplayer.adm (Windows Media Player)wmplayer.adm (Windows Media Player)
wuau.adm (Automatic Updates)wuau.adm (Automatic Updates)
Modèles d’administrationModèles d’administration
NouveautésNouveautés
Configuration du client AutoUpdateConfiguration du client AutoUpdate
Configuration du Centre de SécuritéConfiguration du Centre de Sécurité
Configuration du Pare-feu WindowsConfiguration du Pare-feu Windows
Configuration d’Internet ExplorerConfiguration d’Internet Explorer
Configuration des réseaux sans fil avec Configuration des réseaux sans fil avec WPA, WPA-PSK, TKIPWPA, WPA-PSK, TKIP
RéférencesRéférences
816662816662 - Recommendations for managing - Recommendations for managing Group Policy administrative template (.adm) Group Policy administrative template (.adm) filesfileshttp://support.microsoft.com/kb/816662http://support.microsoft.com/kb/816662
842933842933 - The following entry in the [strings] - The following entry in the [strings] section is too long and has been truncated section is too long and has been truncated error message when you try to modify or to error message when you try to modify or to view GPOs in Windows Server 2003, view GPOs in Windows Server 2003, Windows XP, or Windows 2000Windows XP, or Windows 2000http://support.microsoft.com/kb/842933http://support.microsoft.com/kb/842933
Group Policy Settings Reference for Windows Group Policy Settings Reference for Windows XP Professional Service Pack 2XP Professional Service Pack 2http://go.microsoft.com/fwlink/?http://go.microsoft.com/fwlink/?LinkId=22031LinkId=22031
Microsoft FranceMicrosoft France18, avenue du Québec18, avenue du Québec
91 957 Courtaboeuf Cedex91 957 Courtaboeuf Cedex
www.microsoft.com/france
0 825 827 8290 825 827 829
[email protected]@microsoft.com
Top Related