© 2003 Microsoft France

Sécurité en environnement
Microsoft
Gestion des correctifs de
sécurité
http://www.microsoft.com/france/securite
news://news.microsoft.com/microsoft.public.fr.securite
Cyril VOISIN
Chef de programme Sécurité
Microsoft France
[email protected]
Sommaire
Stratégie de Microsoft, rappels sur la
sécurité
Stratégie de Microsoft : initiative Trustworthy
Computing
Les 3 facettes de la sécurité (personnes,
processus, technologies)
Ce qui est disponible aujourd’hui
Les outils du programme STPP (lancé en
octobre 2001)
Les outils de gestion des correctifs de sécurité
MBSA
SUS 1.0 en détails
SMS 2.0 avec SUS Feature Pack
Sommaire
Nouvelles initiatives
Constats complémentaires
Ce que nous faisons pour améliorer la sécurité
Continuer à faire tendre le nombre de vulnérabilités vers 0
SD3+C, ex: Windows Server 2003, processus d’amélioration de la qualité,
améliorations constatées
Améliorer la gestion des correctifs de sécurité
Annonces récentes : sortie mensuelle, rationalisation, amélioration des
tests, diminution de la taille, des redémarrages, automatisation
Diminuer la vulnérabilité résultante, sans application de correctif
Technologies de sûreté contre les attaques réseau, e-mail, Web, buffer
overruns
Inspection
Fournir des guides et formations
Guides des opérations sur la sécurité, de solutions de sécurisation et d’architectures
Sensibiliser les utilisateurs
Campagne : 3 étapes pour aider à protéger votre PC
Planning prévisionnel
Nouveautés produit : gestion de droits numériques en
entreprise
Aperçu RMS
Aperçu IRM d’Office 2003
Stratégie Microsoft
Rappels sur la sécurité
Trustworthy Computing
Rendre l’informatique
aussi simple et fiable
que l’eau, le gaz,
l’électricité
Nécessite l’adhésion
et l’implication de toute
l’industrie informatique
Une priorité fondamentale
pour Microsoft
Cela prendra du temps
(10 ans et plus)

Changement culturel :
privilégier la sécurité par rapport
aux fonctionnalités
Trustworthy Computing

Résistance aux attaques

Sécurité
Protection de la confidentialité, de
l’intégrité, de la disponibilité et des
données
Chaque individu a le contrôle sur ses
Respect vie privée données personnelles
Les produits et les services en ligne
adhèrent à des principes de bon
comportement
Sûr
Fiabilité
Disponible lorsque nécessaire
Offre les performances attendues

Fournit des produits de qualité

Intégrité fournisseur Aide les clients à trouver des solutions
appropriées
Règles les problèmes liés aux produits et
services
Interaction ouverte avec les clients
Pas simplement des technos…
 Les 3 facettes de la sécurité
Restauration
vage MO M
20 03 tifs

Sa
h i / c
Arc / XP

Cl
Po 00 rr e
20

uve
li

us
d ’ a ti q u e d o w s C o I S A

te
ccè Win

ngar

rs
tio
s acks
Fr er a sof t

e P
ew n s

v i c

la
r

de
Ac Se
k

al
en es
tiv
am ti o
or
Op cro

Déte sion
st
eD EC

d ’ in t
em n d
ts
In
Rép ire S
Mi

IP
én io

ara cto
év st

ction
tion ry

ru
PK

Te
s
Ge

An
su
Gestio on n des

ti v
Kerberos

ch

DFS
qu on

iru
p
peerrffss
es

es
ris a ti

s
du t / n

no
Architecture
de alu

S
oc

o n en io L
Ev

i /T SM
st em urat sécurisée L

lo
e S
G ng fig SS G P
Pr

a n O

g
Ch Co

ie
la EF S S
d e RM

s
Répo
ns
Incid e à
ent Personnes
Adm n . in e Dé
de l i ve ce/
’ En t i n . m a l o er vi
repr Ad om Utilisateur pp S
p p ort
ise D eu S u
Du r
Méthodologie processus : ITIL,
MOF
l’ITIL (Information Technology
Infrastructure Library)
Crée par l’office de commerce du
gouvernement britannique (OGC)
Un ensemble de préconisations pour
encadrer et assurer la qualité de
l’exploitation des systèmes d’informations .
MOF ( Microsoft Operations
Framework )
Replace les préconisations d’ITIL dans le
cycle de vie d’une exploitation.
En déduit les outils et les procédures
adaptés aux produits Microsoft.
 Modèle de Processus MOF
Niveaux de Service Revue de
Gestion Financière Recette Gestion du Changement
Continuité de Service Gestion des Configurations
Gestion de la Disponibilité Gestion des Nouvelles Versions
Gestion de Capacité
Gestion des Équipes
Revue de
Revue de Mise en
Service Production

Help Desk
Administration (Systèmes ,
Gestion des Incidents Réseaux, annuaire, impression)
Gestion des Problèmes Gestion de la Sécurité
Revue
d’Exploitation Surveillance et Supervision
Gestion des Travaux
Sauvegarde & Restauration
Ce qui est disponible
aujourd’hui
Outils, resssources
Support antivirus : pas de décompte des
incidents dus à des virus
Outils
Microsoft Baseline Security Analyzer (MBSA)
Analyse la configuration de sécurité et détecte
les correctifs manquants
Modèles de sécurité
Verrouillage d’IIS : IIS Lockdown + URLScan
Ressources en ligne sur la sécurité
http://www.microsoft.com/france/securite
news://news.microsoft.com/microsoft.public.fr.securite
Offre de services (contacter Microsoft
Consulting Services & le Support Premier)
Assistant de verrouillage IIS
IIS Lockdown
Durcit la configuration d’IIS (4 ou 5)
Désactive les services inutiles
Restreint l’accès aux commandes système
URLScan
Filtre ISAPI pour IIS4/5, configurable, qui bloque les URL
qui ressemblent à des attaques
ISA Server : parefeu (dont passerelle applicative)

Url
Serveur Web scan Parefeu Client
IIS ISA Server
Guides d’architecture normative
Microsoft a décidé de développer des
lignes directrices et des architectures
normatives afin d’aider ses clients à
mettre en œuvre des mesures de
sécurité et à en assurer la pérennité
Internet Data Center Guide, intègre
notamment des chapitres
spécifiques sur la sécurité et les
pare-feu
http://www.microsoft.com/technet/treeview/default.asp?url=/technet/its
olutions/idc/rag/ragc00.asp

Enterprise Data Center Guide,

intègre notamment des chapitres
spécifiques sur la sécurité et les
Guides des opérations sur la sécurité, de
solutions de sécurisation et
d’architectures
Microsoft Solution for Securing Windows
2000 Server
http://www.microsoft.com/technet/security/prodtech/Windows/SecWin2k
Threats and countermeasures
in Windows XP and Windows Server
2003
http://www.microsoft.com/technet/security/topics/hardsys/tcg/tcgch00.asp
Windows Server 2003 Security Guide
http://microsoft.com/downloads/details.aspx?FamilyId=8A2643C1-0685-4D89-
B655-521EA6C7B4DB&displaylang=en
SQL Server Security
http://www.microsoft.com/sql/techinfo/administration/2000/security/
securityWP.asp
Securing Wireless LANs
http://www.microsoft.com/technet/security/prodtech/windows/win2003/pkiwire/
SWLAN.asp
Guide des opérations sur la sécurité de
Microsoft Exchange 2000 Server
http://www.microsoft.com/france/technet/produits/exchange/info/
20021004_guide_securite.html

17 livres en tout à ce jour

Gestion des correctifs de
sécurité
MS Baseline Security Analyser
(MBSA)
Détecte les erreurs de configuration
de sécurité les plus courantes et les
correctifs et Service Packs manquants
(en s’appuyant sur les fonctions de
hfnetchk 3.82)
Note globale de la machine
Score de réussite/échec par vérification
effectuée
Instructions pour corriger les
vulnérabilités trouvées
Fonctionnement pour la
recherche de correctifs
manquants
Importe la liste des correctifs de sécurité
(base XML)
Compressée :
http://download.microsoft.com/download/xml/security/1.0/N
T5/EN-US/mssecure.cab
Brute :
(http://www.microsoft.com/technet/security/search/mssecur
e.xml)
Vérifie que les clés de registre ont été
installées
Vérifie pour chaque correctif que tous les
fichiers sont présents
Vérifie le numéro de version de chaque
fichier et les checksums (pour les versions
anglaises seulement)
MBSA
Windows NT 4.0, Windows 2000, Windows
XP, Windows Server 2003
Internet Information Server (IIS) 4.0, 5.0 et
6.0
SQL 7 & SQL 2000 (y compris MSDE)
Internet Explorer 5.01+
Windows Media Player
Exchange 5.5 et Exchange 2000
Bureautique
Office 2000 et XP
Outlook
MBSA
Outil en ligne de commande (mbsacli.exe)
ou graphique
Outil en « lecture seule » (pas de
modification de la configuration des
machines scannées)
Un rapport XML par analyse
Disponible en version 1.1.1 depuis le 4 juin
2003 sur
http://www.microsoft.com/technet/security/
tools/Tools/MBSAhome.asp
http://www.microsoft.com/france/technet/
themes/secur/info/mbsa.html
mbsacli.exe –hf a remplacé hfnetchk
MBSA
MBSA
Utilisation de MBSA
Voir mbsacli.exe /? et mbsacli.exe
–hf /?
Multiples options :
noms de machines,
gamme d’adresses IP,
domaine,
nombre de threads,
base XML utilisée,
compte+mot de passe,
checksums,
…
MBSA prérequis
Fichiers communs IIS (sur la machine
exécutant MBSA pour scanner les machines
IIS distantes)
Ports du pare-feu
Port 80 (HTTP)
Pour télécharger le fichier mssecure.xml
TCP 139, 445
Pour le scan de machines distantes
L’utilisateur qui exécute MBSA doit avoir
les privilèges d’administrateur local de la
machine scannée
Historisation

2 scripts disponibles dans Securing

Windows 2000 :
MBSAPatchCheck.cmd
MBSA exécuté avec /hf, -fh et –f
Lance le script movelog.vbs
Movelog.vbs
Crée un dossier avec la date
Déplace le résultat dans le dossier
Interprétation des résultats
La présence de certains correctifs ne
peut être confirmée :
Evaluation trop difficile sans risque
d’erreur
La correction se réfère à un
contournement – pas de fichiers
impliqués
Même principe que les « Notes » de
hfnetchk :
Q306460 - hfnetchk.exe Returns
NOTE Messages for Installed Patches
Gestion des correctifs et
distribution de logiciels
Grand public et petites entreprises :
Windows Update
Initialisé par l’utilisateur ou Mise à jour
automatique
Accès à toutes les mises à jour disponibles
Déploiement depuis Microsoft.com
Moyennes entreprises :
Software Update Services (SUS)
Votre Windows Update derrière votre
pare-feu
Contrôle administratif de l’approbation
Correctifs de sécurité : approuvé c’est
déployé
Windows 2000 et Windows XP seulement
Entreprises:
SMS et le SMS Software Update
Services Feature Pack
Déjà conçu pour les grandes entreprises
Permet un meilleur contrôle d’un plus
grand nombre de vos plateformes et des
Client Automatic Update
Mises à jour
critiques
Windows
2000/XP

WindowsUpdate
Internet

Recherche de Notification /
nouvelles mises Téléchargement et
à jour installation des
mises à jour

Serveurs, postes de travail et

portables avec le client
Automatic Updates intranet
Client Automatic Update
Notification des mises
à jours (uniquement
pour les
administrateurs)
Utilisation de BITS
(Background Intelligent
Transfert Service) pour
optimiser la bande
passante
Les correctifs sont
signés par Microsoft
Un seul redémarrage
pour toutes les mises à
jour
Software Update Services (SUS)
Un des nouveaux outils de sécurisation de la
plateforme Microsoft fourni dans le cadre du
programme de sécurité STPP / Stay Secure
Conçu pour simplifier le maintien à jour de
systèmes Windows (serveurs et stations) par
rapport aux dernières mises à jour critiques
Fonctionne en conjonction avec Automatic
Updates (dispo en 24 langues)
Support des mises à jour critiques de
Windows XP, Windows 2000 dans toutes les
langues (24)
Interface Web pour l’administrateur en
anglais seulement
Architecture SUS

Mises à jour de sécurité pour Windows,

publiés par Microsoft pour SUS

WindowsUpdate
Internet
1/ Synchronisation intranet
2/ Approbation des mises à jour par
l’Administrateur via une interface Web

Config.
Centralisée
Serveurs, postes de travail et des clients
3/ Téléchargement
SUS portables avec le client
& installation des
Automatic Updates
mises à jour
approuvées
Serveur SUS
Administration
Adresse HTTP :
http://Monserveur/SUSAdmi
n
Administration nécessite
d’être administrateur local
Administration possible en
HTTPS/SSL (Q326312)
Uniquement pour le site
susadmin. Si la racine,
/content, ou /selfupdate
sont configurées pour
utiliser SSL, le client AU
ne pourra pas détecter les
mises à jour sur le serveur
SUS (il ne peut utiliser que
le port 80).
SUS supporte NLB
Administration depuis un
poste utilisant Internet
Explorer 5.5 ou plus
Serveur SUS
Administration
Options
Emplacement des correctifs : soit sur le
serveur SUS local (obligatoire si proxy
avec authentification non Windows) ou
sur les serveurs Windows Update
(Internet)
Définition d’un proxy & authentification
Synchronisation depuis Windows
Update ou d’un autre serveur SUS
Choix des langues
Serveur SUS
Administration
Synchronize Server
Synchro manuelle ou planifiée (utilise les ports 80 HTTP
et 443 SSL)
Processus
Téléchargement du fichier de meta-données (dont
AUCatalog.cab/ AUCatalog1.cab)
Validation de la signature
Comparaison du fichier de meta-données pour déterminer
les nouvelles mises à jour
Téléchargement des nouvelles mises à jour et vérification
de leurs signatures
Si la synchronisation planifiée ne fonctionne pas, SUS
retentera la synchronisation 3 fois avec un intervalle de
temps de 30 minutes
Sites à autoriser :
http://www.msus.windowsupdate.com
http://download.windowsupdate.com
http://cdm.microsoft.com
Serveur SUS
Administration
Approve Updates
Status
New : nouvelle mise à jour récemment téléchargée
Approved : mise à jour approuvée et disponible
Not approved : mise à jour non approuvée, et donc non
disponible pour les postes « clients »
Updated : nouvelle version d’une mise à jour, téléchargée
lors d’une synchronisation récente
Temporary unavailable
Correctif associé introuvable
Dépendance manquante
Seulement si stockage en local
NB : une mise à jour que l’on passe en « non
approved » ne sera pas désinstallée par le client
AutoUpdate
Serveur SUS
Administration
Monitor Server
Permet de voir toutes les mises à jour
disponibles sur le serveur
Permet de faire l’inventaire des mises à
jour par plateforme, dates, …
Cette information est remise a jour à
chaque synchronisation
Serveur SUS
Caractéristiques
Journalisation côté serveur
Journal de synchronization au format
XML
Journal des approbations au format
XML
Rapports
Statuts sur les téléchargements et les
installations obtenus depuis le serveur
des statistiques
Client AutoUpdate
Paramétrage

Par exemple avec les

stratégies de groupe
(GPO) dans Active
Directory (ou script
de logon ou via
interface graphique)
Utilisation du fichier
WUAU.ADM installé
dans le répertoire
%WINDIR%\INF
Le fichier INF est
ajouté par:
Le client AU
Les Service Packs
incluant le client
AU
Le serveur SUS
Client AutoUpdate
Paramétrage

Comportement face au
serveur de mise à jour
3 options de configuration
:
Notification pour le
téléchargement et
l’installation
Téléchargement
automatique et
notification pour
l’installation (Serveurs)
Téléchargement
automatique et
planification pour
l’installation (Stations)
Client AutoUpdate
Paramétrage
Préciser s’il s’agit d’un
serveur SUS et quelle est
son adresse
2 options de
configuration :
Sélection du serveur
de distribution
Par défaut Internet
Sélection du serveur
de statistiques
Un même serveur
physique peut supporter
ces 2 fonctions.
Client AutoUpdate
Fonctionnement
Améliorations du Service Pack 1
Installation possible sur un contrôleur de
domaine
Meilleure intégration avec IIS Lockdown
Liens Details des mises à jour
RescheduledWaitTime
Positionne la nouvelle date de planification
d’installation au redémarrage+RescheduleWaitTime
(en minutes <> 0)
NoAutoRebootWithLoggedOnUsers
Notification de redémarrage pour tous les
utilisateurs qui ouvrent une session pendant
l’attente d’un redémarrage
Statuts de journalisation client

Le client AutoUpdate enregistre son statut

auprès d’un serveur IIS
On peut choisir un serveur de statistiques différent
du serveur SUS
Événements liés au statuts enregistrés
Pendant la mise à jour : self-update pending
Après la mise à jour : self-update success/failure
Pendant la détection : initialization success/failure
Après la détection : detection success, detection
failure
Après le téléchargement : download
success/declined/failure
Après installation : installation
success/declined/failure
 Architecture avancée
Internet intranet

Serveur de distribution
Proxy
Synchro Synchro
WindowsUpdate Contenu & Contenu
liste des

u
-f e
re Mises à jour
approuvées
Pa

Proxy Configuration possible

du Client pour
Le Client peut être configuré
téléchargement et
pour récupérer depuis le site de installation automatiques
Microsoft les mises à jour des mises à jour SUS SUS
approuvées
HTTP

Clients Clients
Le contenu peut être
synchronisé depuis AutoUpdate AutoUpdate
Windows Update ou Windows 2000/XP Windows 2000/XP
un serveur local
Serveur SUS
Prérequis

Système d’exploitation minimum

Windows 2000 SP2 ou Windows Server 2003
ou Small Business Server
Internet Information Server 5.0 ou plus
IE 5.5 ou plus
Matériel minimum :
Pentium III – 733mhz
512 Mo de RAM
6 Go d’expace disque
Ce matériel de base peut supporter 15000
clients
Notification SUS par e-mail

Les administrateurs peuvent

s’inscrire pour recevoir une
notification de nouveau contenu par
messagerie électronique
http://www.microsoft.com/
windows2000/windowsupdate/sus/
redir-email.asp
Dépannage
Client
Est-ce que je reçois des mises à
jour ?
Regarder %programfiles%\WindowsUpdate\V4\
IUHist.xml

Montre les réussites et les échecs

des installations
Rapports d’AutoUpdate et du site
Web Windows Update
Dépannage
Client
Forcer le client à chercher des mises à jour
Ne pas configurer la stratégie AU (utiliser l’interface
graphique)
1ère méthode: décocher pour désactiver AU; cliquer sur Appliquer;
Cocher pour activer AU; cliquer sur Appliquer
2ème méthode :
net stop wuauserv
Supprimer HKLM\Software\Microsoft\Windows\CurrentVersion\
WindowsUpdate\Auto Update\LastWaitTime (si elle existe)
Supprimer HKLM\Software\Microsoft\Windows\CurrentVersion\
WindowsUpdate\Auto Update\DetectionStartTime (si elle existe)
Vérifier que HKLM\Software\Microsoft\Windows\CurrentVersion\
WindowsUpdate\Auto Update\AUState=0x2
net start wuauserv
AU vérifiera la disponibilité de mises à jour dans les minutes
suivantes
Consulter le Journal des événements
Unable to connect (écrit toutes les 48 heures)
Installation Ready (en attente de l’administrateur ou de
l’heure d’installation automatique)
Installation complete (avec ou sans redémarrage en attente)
Dépannage
Client (suite)

Regarder %windir%\Windows Update.log

Les messages “Querying software update
catalog” indique le serveur source
S’il y a seulement 3 appels à
autoupdate/getmanifest.asp, cela indique que
les mises à jour approuvées sur le serveur
SUS ne s’appliquent pas à cette machine
Le 4ème appel à autoupdate/getmanifest.asp
indique des mises à jour applicables ont été
trouvées
Les numéros d’erreur sont décrits dans le
Guide de déploiement
Dépannage
Serveur

Mes synchros échouent…

Vérifiez l’accès à l’URL suivante depuis
le serveur :
http://www.msus.windowsupdate.com/msus/v1/aucatalog.cab
Regarder le journal de synchronisation
pour rechercher des erreurs
Le réglage du proxy est-il correct ?
Nécessite-il une authentification ? Avez-
vous précisé les bons nom + mot de
passe ?
Dépannage
Serveur (suite)

Aucune mise à jour ne s’affiche sur la page

d’approbation
Probablement une erreur de chargement des meta
données.
Allez sur la page de surveillance (Monitor) et cliquez
sur Actualiser
Le site Web semble avoir des
dysfonctionnements (lorsque j’essaie de
synchroniser ou de planifier une synchro, rien ne
se passe ; quand je change une option, elle n’est
pas prise en compte)
Redémarrer le service SUS Synchronization
Le site d’administration n’est pas accessible ou
les clients AutoUpdate n’arrivent pas à joindre le
serveur
Vérifiez que IIS s’exécute
Redémarrez le service IIS
Quelques derniers points
SUS 1.0 ne permet pas d’installer de
pilotes de périphériques. Toutefois
AutoUpdate cherche à détecter des
pilotes. De ce fait, on trouvera dans le
journal (sans que cela n’interfère avec le
fonctionnement normal) des entrées du
type :
Error IUENGINE Querying software update
catalog from
http://mysusserver/autoupdatedrivers/get
manifest.asp (Error 0x80190194)
Régulièrement, des mises à jour auront le
statut « Updated ».
Ceci se produit si les critères de détection
d’un correctif ont changé (mais pas le
binaire lui-même, sinon cela est indiqué
dans l’article de KB)
Quelques derniers points
Pourquoi les mises à jour sont offertes de
nouveau et ré-installées sans arrêt sur
mes machines ?
Ceci se produit si les critères de détection
sont incorrects ou si l’installation du
correctif échoue ou bien réussit mais
n’enregistre pas quelque chose de
nécessaire à la détection. Il faut alors
vérifier si le correctif est bien installé en
consultant l’article de KB
Pourquoi plusieurs correctifs cumulatifs
sont installés les uns après les autres ?
SUS 1.0 ne gère pas la notion de correctif
cumulatif. Recommandation : quand vous
approuvez un correctif cumulatif,
désapprouvez les correctifs précédents
compris dans ce correctif.
Quelques derniers points
Les serveurs SUS en cascade ne doivent
pas être séparés par des proxies
Avant de déplacer SUS d’un serveur à un
autre, il faut désactiver AutoUpdate.
Ensuite vous pouvez réactiver
AutoUpdate. Si vous ne procédez pas
ainsi, les téléchargements en cours
continueront en direction de l’ancien
serveur. Vous pouvez les supprimer en
utilisant l’outil BITSAdmin (sur les CD de
Windows XP et Windows Server 2003).
Exemples d’utilisation de cet outil :
http://msdn.microsoft.com/library/default.
asp?url=/library/en-us/bits/bits/
bitsadmin_examples.asp?frame=true
SUS Feature Pack de SMS

Offre les outils suivants

Security Update Inventory Tool
Microsoft Office Inventory Tool for
Updates
Distribute Software Updates Wizard
Web Report Add-ins for Software
Updates
Elevated-rights Deployment Tool
Voir diapositives en Annexe A
Comparaison SUS – SUS FP de SMS
SUS SMS + SUS
Feature Pack
Correctifs de sécurité et X X
critiques de Windows +
Internet Explorer
Correctifs Office X
Service Packs X X
Mises à jour serveurs (SQL X
Server,…) (utilise MBSA)
Windows NT 4.0 / Windows 9x X
Application dist. X
Correctifs recommandés X
Composant gratuit? X Oui si SMS
SUS and SMS
SUS 1.0 SMS + SUS Feature Pack
Plateformes Windows 2000, Windows XP, Windows 9x, NT4, 2000, XP
Windows Server 2003
Contenu Correctifs critiques et de Assistant pour les mises à jour
sécurité de Windows de Windows/Office. Sinon
n’importe quel contenu
Planification Planifications séparées entre Planification de l’installation
le téléchargement et séparée basée sur une
l’installation qui s’appliquent publication. Planification
à toutes les mises à jour possible d’une mise à jour ou
un groupe de mises à jour sur
un groupe de machines à un
moment donné
Ciblage Tous les clients pointant sur Ciblage détaillé basé sur
un serveur SUS obtiennent l’inventaire matériel / logiciel,
les mises à jour approuvées l’utilisateur, les groupes, etc...
Le client vérifie les mises à
jour dont il a besoin d’après
son OS / les conditions
Distribution On peut chaîner les serveurs Infrastructure de distribution
SUS de manière hiérarchique. intégrée pour planifier /
canaliser les communications
inter-sites
Rapports Basés sur les logs IIS – pas Statut intégré, transféré et
Nouvelles initiatives dans la
continuité des efforts déjà
entrepris
Constats complémentaires
Nombre de jours
entre le correctif et
Prolifération des correctifs 331 l’exploitation

Temps avant exploitation en

baisse 180
151
Exploitations plus
sophistiquée
25
L’approche actuelle n’est
Nim Sl a SQ L We Bl
pas suffisante da mm l c
Na hia
as
t er
er ch /
i

La sécurité est notre priorité n°1

Il n’y a pas de remède miracle
Le changement nécessité des innovations
Réponses pour améliorer la
sécurité
Faire tendre vers 0 le nombre de
vulnérabilités
Améliorer la gestion des correctifs de
sécurité
Diminuer la vulnérabilité résultante,
sans application de correctif
Fournir des guides et formations
Sensibiliser les utilisateurs
 SD3 + C
Secure by Design  Architecture sécurisée
 Fonctionnalités sécurisées
Sécurisé Dès la
 Réduction des vulnérabilités du code
conception

 Réduction de la surface d’attaque


Secure by Default Fonctionnalités non utilisées désactivées par
Sécurisé par Défaut défaut
 Principe du moindre privilège
 Protéger, Détecter, Défendre, Récupérer,
Gérer
Secure in  Processus :Guides d’architecture, how to’s
Deployment  Personnes: Formation
Sécurisé une fois Déployé  Amélioration de la qualité des correctifs.
Cohérence dans les moyens d’installation.
 Documentations sécurisation
 Communauté sécurité (relations avec
Communications l’industrie, divulgation responsable)
 Microsoft Security Response Center
Windows Server 2003
Le premier produit Microsoft à appliquer la nouvelle
philosophie en matière de sécurité
Surface d’attaque réduite de 60% par rapport à NT4
Plus de 20 composants désactivés ou renforcés dans
l’installation par défaut (dont IIS 6, IE 6, …)
Nouveaux comptes avec des niveaux de privilège moins
élevés
Intégration des derniers standards en matière de sécurité
réseau (802.1x, PEAP,WPA pour les réseaux sans fils WiFi…)
IIS complètement ré-architecturé : non installé par défaut.
Verrouillé à l’installation (fichiers statiques; assitant de
sécurité obligatoire)
Environnement applicatif .NET intégré
Signature de code, preuves, notion de rôles pour les autorisations
Partages en lecture seule
« Tout le monde » n’inclut plus les utilisateurs anonymes
Ordre de recherche de DLL commence par system32 par
défaut
Et d’autres : PKI, RADIUS, quarantaine, audit de sécurité
détaillé, carte à puce, EFS (AES 256 par défaut), parefeu,
permissions effectives, délégation, Ipsec, approbation inter-
forêt, chiffrement AES, chemin DLL, limitation des accès
Nouveaux comptes de services
Local System
 Pas de mot de passe à gérer
 Court-circuite les vérifications de sécurité
Comptes utilisateurs
 S’exécute avec moins de privilèges que Local System
 Stocke un mot de passe sous forme de secret LSA
 Peut s’avérer complexe à configurer

Service Local et Service Réseau

(Local Service et Network Service)
 Pas de mot de passe à gérer
 S’exécute avec à peine plus de privilèges qu’un utilisateur
authentifié
 Service Local ne peut pas s’authentifier par le réseau,
Service Réseau s’authentifie comme le compte machine
 Continuer à améliorer la qualité
Processus de sortie Trustworthy Computing
Docs de
conception & Chaque équipe développe une
spécifications Revue modélisation des menaces de son
Conception de composant afin de s’assurer que la
sécurité conception bloque les menaces
applicables
Application des standards de codage et de
M1
Développement

conception de sécurité
Dév’ Outils pour éliminer les erreurs du code (PREfix
Développement M2 & & PREfast)
test et test Surveillance et blocage des nouvelles
documentation techniques d’attaque
Mn
Focalisation de toute l’équipe*
Security
Mise à jour de la modélisation des
Push menaces, revue de code, passage au
Beta
crible des tests et de la documentation

Produit Analyse vis à vis des menaces

Audit
Sortie courantes
de
Tests de pénétration par des équipes
sécurité internes et de 3rces parties
Service
Packs, Correction des problèmes nouvellement
correctifs Security découverts
Support Response Analyse des causes pour trouver et
corriger de manière proactive les
vulnérabilités associées
Continuer à améliorer la
qualité
Produits existants et largement répandus:
10
Service Pack 3
5 Service Pack 3

1
0
Bulletins Bulletins Bulletins Bulletins
durant la depuis la durant la depuis la
période sortie période sortie
précéden TwC précéden TwC
Distribuéte
en Janvier 2003, il y a 9 mois Distribuéte
en Juillet 2002, il y a 15 mois

Obligatoire pour tous les nouveaux produits:

Vulnérabilités importantes ou critiques dans les
premiers… Sortie
…90 jours …150 jours TwC?
9 17 Non
3 4 Oui
Améliorer la gestion des
correctifs
Nouvelles stratégies
Extension du support sécurité à juin 2004
Windows 2000 SP2
Windows NT4 Workstation SP6a
Publication mensuelle des correctifs de
sécurité non urgents
Permet de planifier un cycle
de test / déploiement de
manière prévisible
Fournis sous forme de
correctifs individuels qui
peuvent être déployés
ensemble
Les correctifs de sécurité pour les problèmes urgents
 Améliorer la gestion des
correctifs
Votre besoin Notre réponse
Réduire la D’ici à mai 2004 : consolidation autour de 2 installateurs
complexité des de correctifs pour Windows 2000 et ultérieur, SQL, Office
& Exchange. Comportement cohérent entre tous les
correctifs correctifs (SUS 2.0, MSI 3.0)
Réduire le risque Maintenant : test interne accru; test des pré-versions
de correctifs par des clients.
de déploiement
D’ici à mai 2004: possibilité de retour arrière pour
d’un correctif Windows, SQL, Exchange, Office

Maintenant : réduction de la taille des correctifs de 35% ou

Réduire la taille des plus. D’ici à mai 2004 : 80% de réduction (technologie de
correctifs correction par delta - delta patching – et amélioration des
fonctionnalités avec MSI 3.0)
Maintenant : 10% de réduction des redémarrages pour
Réduire Windows 2000 et +
D’ici à mai 2004 : 30% de redémarrages en moins pour
l’indisponibilité Windows Server 20003 (à partir du SP1). Jusqu’à 70% de
réduction pour le prochain serveur

3 nov.: SMS 2003 offrira la capacité de déployer les correctifs

Étendre pour toutes les plateformes et applications supportées
l’automatisation à D’ici à fin 2004, tous les correctifs Microsoft auront le même
tous les produits comportement pour l’installation (MSI 3.0 + SUS 2.0) et
seront disponibles à un seul endroit : Microsoft Update
Au delà des correctifs

Rendre les logiciels plus

résistants aux attaques, même
quand les correctifs ne sont pas
(encore) installés

Aider à arrêter l’exploitation des

vulnérabilités connues et inconnues
Objectif : rendre 7 correctifs sur 10
installables à votre rythme
Fournir des technos de sûreté

Windows XP SP2
Pare-feu amélioré
Messagerie électronique et navigation Internet
plus sures
Protection de la mémoire améliorée
Beta d’ici à la fin de l’année, RTM selon le
retour de nos clients testeurs
Windows Server 2003 SP1
Configuration de la sécurité par rôle
Inspection des machines clients pour l’accès à
distance
Inspection des machines locales à la
connexion
RTM : H2 CY04
Inspection

Client distant
potentiellement
Client local infecté
potentiellement
infecté
Conseils et formation

Programme mondial de formation

Séminaires Technet sur la sécurité (2 jours)
Webcasts sécurité
Symposium sécurité dédié
aux développeurs lors de la PDC
Nouveaux conseils prescriptifs
Modèles et pratiques
Configuration sécurité (how to)
Comment Microsoft sécurise Microsoft
Communauté en ligne
Zone sécurité pour les professionnels
de l’informatique
Sensibiliser les utilisateurs
Campagne : 3 étapes pour vous aider
à protéger votre PC
http://www.microsoft.com/france/secu
rite/protection
Planning
1er 2nd
Octobre semestre semestre Futur
2003 2004 2004

Support Windows XP Windows Durcisseme

étendu SP2 Server nt de
Correctifs Amélioration 2003 SP1 Windows via
mensuels s des Technologi NGSCB
Guides correctifs es de Autres
SMS 2003 sûreté technologies
Inspection de sûreté au
SUS 2.0 niveau du
de
Microsoft nouvelle système
Update génération d’exploitatio
Formation n
ISA Server
2004
Nouveauté : gestion de droits
numériques en entreprise
Respect (?) de la politique de
sécurité aujourd’hui
Protection des données
Les limites des dispositifs
classiques
Permissions sur les partages de fichiers
Portails avec authentification
Messagerie électronique avec signature et
chiffrement
Filtrage des accès réseau par pare-feu
(périmètre mouvant)
N’empêchent pas les fuites (accidentelles ou
volontaires) de documents ou de messages,
induisant pertes de revenu, pertes d’avantages
concurrentiels, de confiance…

Augmenter la protection des données

sensibles en contrôlant non seulement
l’accès mais aussi l’usage via une technologie
Rights Management Services
Nouvelle technologie contribuant à la protection
des données sensibles contre une utilisation non
autorisée, à la fois en ligne et en mode
déconnecté, sur votre réseau ou à l’extérieur du
périmètre de votre système d’information.
Comment ? En chiffrant les données sensibles et
en les accompagnant de manière persistante des
politiques d’utilisation, qui demeurent avec les
données, où qu’elles aillent.
Les utilisateurs peuvent définir exactement
comment le destinataire pourra utiliser les
données
Les organisations peuvent créer des modèles
de politiques de sécurité personnalisés et les
gérer de manière centralisée (ex : politique
« Confidentiel entreprise »)
Permet aux développeurs de construire des
solutions de protection des données flexibles
et personnalisables
Composants de RMS
Windows Rights Management Services
(RMS)
Un service de Windows Server 2003
destiné à la protection des données
Partie cliente
Client Windows Rights Management
(apporte les API pour Windows 98 ou
ultérieur)
“Rights Management Add-on for
Internet Explorer”
Applications utilisant RMS (exemple :
application maison utilisant le SDK
Fonctionnalités
Définir qui peut ouvrir, modifier,
imprimer, transférer et / ou
entreprendre d’autres actions avec les
données (possibilité d’utiliser des listes
de distribution contenues dans Active
Directory)
Fixer une date d’expiration sur des
messages électroniques ou des
documents…
… à une date donnée
… n jours après la publication
… tous les n jours, en exigeant
IRM : Information Rights
Management
Empêche les messages de la direction
d’arriver sur Internet
Réduit le transfert d’informations
Message à ne Outlook 2003
confidentiels vers l’interne/externe
Windows RMS
pas transférer Modèles pour gérer de manière
centralisée les politiques

Contrôle l’accès aux plans sensibles

Protection de Word 2003, PowerPoint 2003 Définit le niveau d’accès - afficher,
Excel 2003, Windows RMS modifier, imprimer...
fichiers sensibles Détermine la durée d’accès

Les utilisateurs qui n’ont pas Office 2003

peuvent visualiser les fichiers protégés
Compatibilité IE avec RMA, Windows RMS
par des droits numériques
Assure le respect des droits assignés :
afficher, imprimer, exporter,
copier/coller, limites de temps
Les limites…
Résumé
Améliore le respect de la politique de
sécurité pour les données sensibles
Intégrité des données sensibles
Protection persistante pour les fichiers
Amélioration de la collaboration, y
compris hors du périmètre sous
contrôle du système d’information
Si le sujet vous intéresse, nous en
parlerons lors d’une prochaine
présentation dédiée…
Références
SUS
http://www.microsoft.com/
windowsserversystem/sus/default.mspx
MBSA
http://www.microsoft.com/technet/treevie
w/default.asp?url=/technet/security/
tools/Tools/MBSAhome.asp
Microsoft Solutions Management
http://www.microsoft.com/solutions/msm/
http://www.microsoft.com/technet/
itsolutions/msm/swdist/pmsusog.asp
SUS FAQ
http://www.microsoft.com/windowsservers
ystem/sus/susfaq.mspx
© 2003 Microsoft Corporation. All rights reserved.
This presentation is for informational purposes only. MICROSOFT MAKES NO WARRANTIES, EXPRESS OR IMPLIED, IN THIS SUMMARY.
ANNEXE
Annexe A :
SUS Feature Pack de SMS 2.0
Security Update Inventory Tool

Distribution de l’outil de scan sur les

clients
Connexion sur l’hôte de synchronisation
Distribution de l’outil _scan.exe
Statut sur l’état du système du client
par rapport au Software Update
Inventory
Création, puis mise à jour de la
classe d’inventaire « Software
Updates»
Préparation du client pour
Security Update Inventory Tool

MS WEB 2
2 Point de
Distribution

Mise à jour du
répertoire des
1 patchs de
SyncXML.exe sécurité

Téléchargement
4 de l’utilitaire de
scan
S_scan.exe

5
Report Software Update on Inventory CLIENTS
Système
de Site
S_scan.exe

3
Security Update Inventory Tool
Office Inventory Tool for Updates

Objectif: Automatiser le scan et l’inventaire sur

les derniers bulletins de sécurité Office à partir
des informations du site Web Microsoft
Wizard
Télécharge le Office Update Inventory Tool
Crée les lots, regroupements, programmes,
publications
Résultat: Un nouvelle classe « Software
Updates » est incluse dans l’inventaire matériel
qui fournit des informations de type « Office » en
relation avec les bulletins de sécurité
Intégration avec le Web Reporting
 Distribute Software Updates
Wizard

Pré requis : La classe d’inventaire

« Software Updates » doit exister
Objectif: Analyser et déployer les
correctifs manquants sur les clients
Wizard :
Trouve les correctifs manquants,
choisit les patches
Télécharge les correctifs depuis le
centre de téléchargement de Microsoft
Crée les objets package,
advertisement, program, collection –
nécessaires
 Distribute Software Updates
Wizard
Centre de
Téléchargement /
Office Update, etc.
Correctifs, QFEs, etc.

Internet
Intranet
MMC / Patch Wizard,
Status Messages /
Inventory

Packages, programs,
collections, & offers built by
Wizard CLIENTS

SMS 2.x Scan Tool + Inventory Collection

Site Infra-
structure
Install Applicable Patches
Patch Wizard
Patch Wizard
Patch Wizard
 Web Report Add-ins for
Software Updates

Ajoute un nouveau module dans la

console Web pour reporter les
correctifs des clients.
Permet d’obtenir depuis un
navigateur Internet toutes les
informations d’inventaires des
clients
Vues par :
Correctifs individuels
Machines
Groupes de machines
Web Report Add-ins for Software
Updates
Web Report Add-ins for Software
Updates