La présentation est en train de télécharger. S'il vous plaît, attendez

La présentation est en train de télécharger. S'il vous plaît, attendez

Les ressources : bulletins, outils et publications Michel BERNEUIL Responsable Technique de Compte Microsoft France.

Présentations similaires


Présentation au sujet: "Les ressources : bulletins, outils et publications Michel BERNEUIL Responsable Technique de Compte Microsoft France."— Transcription de la présentation:

1 Les ressources : bulletins, outils et publications Michel BERNEUIL Responsable Technique de Compte Microsoft France

2 Agenda Vulnérabilités, bulletins et alertes (MSRC) La gestion des correctifs (WSUS, MBSA) La suppression des intrus (Antispyware, MSRT) La gestion des risques (MSAT)

3 Vie et mort dune vulnérabilité… La plupart des exploits sont conçues après la mise à disposition du correctif Les attaques se produisent majoritairement ici. Produit installé Vulnérabilité découverte Composant corrigé Correctif publié Correctif déployé chez les clients Ignorance Signalement volontaire Module Gap Test, intégration et déploiement Mesure traditionnelle de la vulnérabilité Vulnérabilité à une attaque générale Vulnérabilité théorique Vulnérabilité publique

4 Le temps avant exploitation Est devenu si court que le patching nest plus une défense suffisante Le temps est de plus en plus réduit pour appliquer du reverse engineering au patch et découvrir la faille… Blaster Welchia/ Nachi Nimda 25 SQL Slammer Nombre de jours entre le correctif et lexploitation 18 Sasser Vie et mort dune vulnérabilité…suite

5 Microsoft Security Response Center Analyse et traitement des rapports de vulnérabilités Suivi des listes Sécurité Point central de coordination et communication Plan de réponse Sécurité de Microsoft Responsable du plan et de sa coordination au sein de Microsoft Travaille à la réduction des risques en modifiant les processus internes de développement par rapport à la sécurité Communauté et Communications Travaille avec les autorités légales et les décideurs Création dune communauté déchange avec les découvreurs des vulnérabilités

6 Le MSRC : un centre névralgique MSRC Juridique Recherche Sécurité Éditeurs Sécurité Décideurs Industrie Groupes Produits Equipes Support Presse Partenaires Microsoft Clients Microsoft Agences gouvernementales Microsoft Security Response Center

7 Genèse dun correctif de sécurité Priorité Analyse du rapport et des impacts possibles sur les clients Évaluation de la sévérité de la vulnérabilité et des risques dexploitation Niveau de priorité décidé Relation avec lauteur Communication Réponse rapide Analyse de la motivation et des besoins Échanges réguliers Communauté Encourager les rapports volontaires Le MSRC reçoit les rapports de vulnérabilité par: Site TechNet Sécurité – rapports anonymes MSRC sengage à répondre à tous les rapports e n 24 h Rapport de vulnérabilité Création de contenu Écriture du bulletin de sécurité : Logiciels/composants affectés Description technique Contournements et atténuation FAQs Remerciements Validation du groupe de produit Publication bulletin de sécurité : 2 ème Mardi de chaque mois Coordination de toute la communication en ligne Envoi dinformations et de conseils aux clients Suivi des problèmes clients et de lactivité Presse Publication Réalisation du correctif Équipe Produit : Identifie limpact de la vulnérabilité Recherche de variantes Analyse en profondeur du code et des spécifications Ecriture du correctif pour test Test Plusieurs niveaux de test : Vérification de lInstallation et du packaging Profondeur Intégration Réseau Microsoft MAJ des outils et règles MAJ « best practices » MAJ des outils de test MAJ du processus de développement et de design

8 Sévérité des bulletins L'exploitation de cette vulnérabilité a des conséquences sérieuses, mais atténuées par des facteurs tels que la configuration par défaut, l'audit, la nécessité d'une intervention de l'utilisateur ou la difficulté d'exploitation Critique Modéré Faible L'exploitation de cette vulnérabilité peut permettre la propagation d'un ver Internet, tel que Code Red, Nimda ou Blaster, sans intervention de l'utilisateur L'exploitation de cette vulnérabilité est très difficile ou a un impact minime Important L'exploitation de cette vulnérabilité peut impacter l'intégrité, la confidentialité ou la disponibilité des données de l'utilisateur, l'intégrité ou la disponibilité des ressources de traitement Plus dinformation :

9 Le MSRC et les bulletins de sécurité Avant la publication Publication 2nd Mardi Après la publication Pré-annonce des bulletins (J-3 = Jeudi) : MSRC Bulletin Notification nombre de bulletins niveau de sévérité anticipé aperçu des produits affectéshttp://www.microsoft.com/technet/security/bulletin/advance.mspx Correctifs publiés sur le Download Center, WU et/ou Office Update, MU Notifications envoyées par aux clients Bulletins publiés les sites Microsoft Informations proactives pour la Presse Publication sur les newsgroups Sécurité / flux RSS Webcast dinformations sur les bulletins (Mercredi, 19h00) Suivi des bulletins et des problèmes client via le Support. Maintenance des bulletins

10 Les avis de sécurité (Security Advisories) Complémente les bulletins de sécurité Microsoft Contenu Plus dinformations Fournit des informations et conseils à propos de modifications de logiciels et de mises à jour liées à la sécurité Quelques exemples de thèmes qui pourraient être traités : Améliorations de sécurité pour la défense en profondeur" ou dautres changements non liés à des vulnérabilités Conseils de protection qui pourraient sappliquer à propos de vulnérabilités divulguées publiquement Résumé des raisons de la publication de lavis de sécurité Forum aux questions Actions suggérées Peut être mis à jour à nimporte quel moment où nous avons davantage dinformations Fait référence à un numéro darticle de la base de connaissance (Knowledge Base) pour davantage dinformations Inscription :

11 Réponse à un incident de sécurité Aperçu Processus dentreprise pour faire face aux menaces de sécurité critiques Mobilisation de ressources Microsoft dans le monde entier Objectifs : Obtenir rapidement une bonne compréhension du problème Vous fournir à temps des informations pertinentes et cohérentes Fournir des outils des mises à jour de sécurité et dautre éléments daide à la restauration du service normal

12 Réponse à un incident de sécurité Watch Observation (détection dun problème potentiel) Relations avec : Partenaires Chercheurs en sécurité et découvreurs de vulnérabilités Écoute des demandes clients au support, de celles de la presse Alert and Mobilize Évaluation du niveau de gravité Mobilisation des équipes de réponse et des groupes de support en 2 groupes : Emergency Engineering Team Emergency Communications Team Observation des demandes clients et niveau dintérêt à propos de cet incident AssessandStabilize Évaluation de la situation et des infos techniques disponibles Début du travail sur la solution Communication des conseils initiaux et des contournements Notification et information des employés de Microsoft Resolve Fourniture dinformations et doutils pour rétablir la situation normale La solution appropriée est fournie : mise à jour de sécurité, outil ou correctif Revue des processus internes et dégagement des enseignements

13 Publication des bulletins de sécurité davril 2004, incluant celui référencé MS qui traite dune vulnérabilité corrigée dans LSASS Début de lobservation des lignes de support, des newsgroups et des activités des communautés et des demandes de la presse Premier rapports de larrivée prochaine de Sasser Alerte des équipes de réponse à un incident de sécurité et réunion dans les 2 salles des équipes durgence techniques et communications v2.0 de loutil de suppression de Sasser sur Windows Update Communication massive auprès des clients et partenaires pour aider à nettoyer les systèmes : Webcast technique Sasser (en anglais) Chats en ligne avec les support Mise à jour des sites Microsoft Outil de suppression mis à jour en permanence pour nettoyer de nouvelles variantes Étude de cas : Sasser Watch (13-28 avril 2004) Alert & Mobilize (29 avril 2004) Resolve (4-10 mai 2004) Assess & Stabilize (30 avril - 3 mai 2004) Début danalyse technique et travail sur la solution (outil de nettoyage) Conseils initiaux communiqués Page Sasser sur Alertes par envoyées par les services de notification pour la sécurité Envoi des alertes aux partenaires et employés Publication de loutil de suppression de Sasser (Sasser Worm Removal Tool) v1.0 sur le Centre de téléchargement

14 Microsoft publie les bulletins de sécurité pour février 2005, dont MS qui traite dune vulnérabilité corrigée dans la manipulation des fichiers PNG touchant MSN Messenger 6.1 & 6.2 Début de lobservation des lignes de support, des newsgroups et des activités des communautés et des demandes de la presse Premiers rapports dune exploitation publique pour MSN Messenger Alerte des équipes de réponse à un incident de sécurité et réunion dans les 2 salles des équipes durgence techniques et communications Décision de lobligation de mise à jour de MSN Messenger pour pouvoir utiliser le service Notification de la décision dobligation de mise à jour : Mise à jour des sites Web de lentreprise Envoi des alertes aux partenaires et employés Le passage obligatoire par la mise à jour a réduit limpact et la diffusion du ver Étude de cas : MSN Messenger Watch (8-9 février 2005) Alert & Mobilize (9 février 2005) Resolve (10-11 février 2005) Assess & Stabilize (9 février 2005) Début de lanalyse technique Conseils initiaux, recommandant la mise à jour vers la dernière verion de MSN Messenger incluant la correction Page dédiée Alertes par envoyées par les services de notification pour la sécurité Envoi des alertes aux partenaires et employés

15 Première information dans les Newsgroup Escalade immédiate Alerte des équipes de réponse à un incident de sécurité et mise en place dune équipe Observation des impacts Observation des lignes de support, des newsgroup et des communautés Analyse en interne des processus Étude de cas : WMF Watch (27 décembre 2005) Alert & Mobilize (27 décembre 2005) Resolve (5 janvier et suivant) Assess & Stabilize (27 décembre 2005 au 5 janvier 2006) Analyse de lattaque, développement et test dune mise à jour Publication davis de sécurité incluant des solutions de contournement. Diffusion du correctif en dehors du cycle normal

16 Agenda Vulnérabilité, bulletins et alertes (MSRC) La gestion des correctifs (WSUS, MBSA) La suppression des intrus (Antispyware, MSRT) La gestion des risques (MSRSAT)

17 Solutions Techniques Windows UpdateSUS1.0 WSUS (SUS 2.0) SMS MBSA Mode «Pull»Mode «Push» Windows98,NT4,XP, 2000,2003 Windows XP,2000,2003Windows XP,2000,2003 Windows98,NT4,XP, 2000,2003 Patchs,Màj,SPPatches, SP Patches, Màj, SP, Màj Office,SQL,Exchg.Patches, Màj, SP Toutes applications Rapports Rapports personnalisés Inventaire et gestion de la base dinstallations intégrées à SMS Fonctionnement au travers dun proxy Communication sécurisée(https) Solution Microsoft complémentaire pour analyser le niveau de protection des ordinateurs cibles Communication directe avec lInternet Pas de support pour Windows NT4 et W98 Création de groupes dordinateurs cibles API Scriptables(côtés client et serveur)

18 Image ISO des correctifs Windows

19 MBSA Automatise l'identification des correctifs de sécurité manquants et des problèmes de configuration de la sécurité Permet à un administrateur d'analyser d'un point central un grand nombre de systèmes Scriptable (Consolidation) 2 modes Graphique (GUI) Ligne de commande Disponible en version 2.0

20 Console MBSA MBSA 2.0 Déploiement de lagent 3.Si linterface danalyse (API) nest pas disponible, téléchargement des composants de lagent 1.Exécution de MBSA sur un système dadministration, en spécifiant une ou des cibles 4.Pousse lagent, accord explicite, puis essaie de nouveau lAPI 5.Si le site MU ne peut pas être utilisé, alors téléchargement de WSUSSCAN.CAB 6.Comparaison de la version de lagent dans le.CAB à la version de lagent WUA 7.Si version inférieure, alors on reprend en 3., puis on essaie de nouveau avec WSUSSCAN.CAB Microsoft Update WindowsUpdateAgent20-x86.exeWindowsUpdateAgent20-x64.exe Machine cible WSUSSCAN.CAB 2.Tentative danalyse (API)

21 Console MBSA Analyse avec MBSA Par défaut, tentative avec le serveur WSUS (sil est assigné) 1.Exécution de MBSA depuis un système dadministration, en spécifiant la ou les cibles 4.Si échec avec MU, alors on utilise le fichier.CAB 5.Si le.CAB actuel nest pas à jour, télécharger le nouveau 6.Analyse avec le.CAB (API) Microsoft Update.CAB hors ligne 7.Si WSUS et MU produisent tous les deux des résultats, les fusionner 8.Utilisation du score par défaut pour les mises à jour non approuvés par WSUS 3.Tentative avec le site MU (par défaut) Site MU (Microsoft Update) WSUS Machine cible

22 Détection de mises à jour MBSA 2.0 Mises à jour de sécurité (aujourdhui) Windows 2000 SP3 et + IIS 5.0 et + SQL Server 2000 / MSDE et + IE 5.01 SP3 et + Exchange 2000, 2003 et + Windows Media Player 6.4 et + Office XP, 2003 et + MSXML 2.5, 2.6, 3.0, 4.0 MDAC 2.5, 2.6, 2.7, 2.8 Microsoft Virtual Machine (JVM) Nouvelles plateformes Seulement à distance, uniquement pour les mises à jour XP Embedded IA64 Mises à jour seulement X64 Pas disponible tout de suite Service Packs de SQL et Exchange Mises à jour dOffice 2000 Commerce Server Content Mgt Server BizTalk Host Integration Server Mises à jour de sécurité (nouveautés) DirectX.NET Framework Windows Messenger FrontPage Server Extensions Windows Media Player 10 Windows Script 5.1, 5.5, 5.6 Windows Server 2003, 64-Bit Edition Windows XP 64-Bit Edition Windows XP Embedded Edition

23 MBSA – Rapports (GUI)

24 MBSA 2.0 démo

25 Options en ligne de commande MBSA 1.2.x /hf /h ou /hf /i /c ou /i /hf /x /hf/sus /hf /fip /hf /fh /v MBSA 2.0 /target/target/catalog /xmlout or /n * /wa/listfile/listfile/ld * = OS+IIS+SQL+Motdepasse

26 MBSA 2.0 Analyse sans installation mbsacli.exe, wsusscan.dll et wsusscan.cab requis pour une analyse hors ligne Performance Possibilité de lancer plusieurs instances simultanément Supportera les CVE-IDs du Mitre quand le contenu sera ajouté à Microsoft Update Connecteur Visio

27 Add-in COM pour Visio 2003 Visualisation des résultats MBSA 2 modes : Import des résultats dans le schéma du réseau Lancement du scan directement à partir du schéma MBSA - Compléments

28 MBSA Fin de support au 31 mars 2006 MSSecure.xml (version MBSA 1.2.1) Ne concerne pas Microsoft SMS 2.0 avec Software Update Services (SUS) Feature Pack Microsoft SMS 2.0 avec Software Update Services (SUS) Feature Pack Microsoft SMS 2003 Microsoft SMS 2003

29 Agenda Vulnérabilité, bulletins et alertes (MSRC) La gestion des correctifs (WSUS, MBSA) La suppression des intrus (Antispyware, MSRT) La gestion des risques (MSAT)

30 Inoffensif Publicité Collecte données Surveillance Numérotation Utilisation distante Chang t paramètres Malfaisant Pas de nuisance potentielle Utilisation ressources Collecte de données perso Affichage de publicité Changement paramétrage Numérotation automatique Clairement malfaisant Enregistrement clavier Logiciel payé / publicité Pop-ups non autorisés Barre de recherche Canal caché Utilitaire de paramétrage Détournement navigateur Contrôle parental Key loggers Logiciel FAI Numéroteur site porno Appli de partage de cycles Porte dérobée Sasser Bloc-notes Spectre des logiciels malveillants Potentiel de nuisance Aucun Extrême EXEMPLESDESCRIPTIONCOMPORTEMENT

31 Inoffensif Publicité Collecte données Surveillance Numérotation Utilisation distante Chang t paramètres Malfaisant Spectre des logiciels malveillants EXEMPLESDESCRIPTIONCOMPORTEMENT Spyware (logiciel espion) ou autre logiciel indésirable programme qui effectue un certain nombre dopérations sans le consentement approprié de lutilisateur Virus, vers, chevaux de Troie Programmes ayant des activités malfaisantes Potentiel de nuisance Aucun Extrême

32 Quelques idées de lampleur La cause dau moins 1/3 de tous les crashes des applications Windows1 Problème majeur chez les OEMs : la cause numéro 1 des appels au support chez Dell2 Consommateurs 91 % des utilisateurs de lInternet haut débit sont affectés3 En moyenne : 5+ « spyware » / « adware » par machine4 Entreprise 5 92 % des managers des DI interrogés pensent que leurs sociétés ont des « spyware » 1 Analyses MS Watson/OCA, Jan-Mar FTC Workshop, Avril ,4 NCSABroadband Consumer Survey, Earthlink Spy Audit, Avril Websense Survey, Avril 2004

33 Microsoft Windows AntiSpyware Lutte contre les logiciels espions Aide à protéger les utilisateurs de Windows contre les logiciels espions et autres logiciels non désirés Détection et suppression des spywares / logiciels indésirables Détection et suppression des spywares / logiciels indésirables 9 agents en temps réel (dont Internet Explorer) 9 agents en temps réel (dont Internet Explorer) Analyses planifiées Analyses planifiées Arrêt des dernières menaces Arrêt des dernières menaces Communauté SpyNet : identifier les nouveaux spywares Communauté SpyNet : identifier les nouveaux spywares Mise à jour automatique des signatures Mise à jour automatique des signatures

34 Windows Defender démo

35 Windows Defender Plus de 25 millions de téléchargements Retours positifs Signatures anti-spyware mises à jour toutes les semaines Site Microsoft Anti-spyware

36 Evolution de lAnti-spyware Windows Client Détection et suppression des spywares Protection continue Défenses à jour Windows Defender En entreprise Déploiement centralisé (client et signatures) Rapports étendus Options de configuration et contrôle Admin des signatures

37 Outil de suppression des logiciels malfaisants (MSRT) Mise à jour tous les mois pour supprimer les nouveaux logiciels malfaisants Ciblé vers les consommateurs sans antivirus Déployable en entreprise comme partie intégrante dune stratégie de défense en profondeur Disponible à travers Windows Update Windows Update Auto Update Auto Update Interface en ligne (ctrl ActiveX sur securite/outils/malware.mspx ) Interface en ligne (ctrl ActiveX sur securite/outils/malware.mspx ) Download Center Download Center Complémente les technologies traditionnelles des Antivirus en fournissant un outil qui supprime virus et vers les plus répandus

38 Outil de suppression des logiciels malfaisants Remplace toutes les versions précédentes des logiciels déradication de codes malfaisants produits par Microsoft Cible Blaster, Sasser, MyDoom, DoomJuice, Zindos, Berbew (aussi connu comme Download.Ject), Gaobot, Nachi, Sober, Zorob Disponible dans les 23 langues supportés par Windows XP mspx mspx

39 Agenda Vulnérabilité, bulletins et alertes (MSRC) La gestion des correctifs (WSUS, MBSA) La suppression des intrus (Antispyware, MSRT) La gestion des risques (MSAT)

40 Pas simplement des technos…

41 Les 3 facettes de la sécurité Architecture sécurisée Technologies OS Annuaire Correctifs IPSEC Kerberos PKI Chiffrement de fichiers SSL/TLSClusters Détection dintrusion Gestion de systèmes Supervision Pare-feu Antivirus PersonnesAdmin. de lEntreprise Admin. Du Domaine Service/Support Développeur Utilisateur Archivage Politique daccès Installation Réparation Gestion des événements Gestion des perfs Gestion du Changement / de la Configuration Processus Restauration Sauvegarde Réponse à Incident Évaluation de risques

42 Microsoft Security Risk Self-Assessment Tool Évaluer les faiblesses de votre environnement en matière de sécurité informatique Questionnaire détaillé Traite infrastructure, applications, opérations et personnel Multilangue, mise à jour en ligne Possibilité de comparaison anonyme

43 MSAT démo

44 Publications Microsoft Guides de sécurité pour le poste de travail:

45 Publications Microsoft Guides de sécurité pour les serveurs:

46 Abonnez-vous Flash Sécurité : Grand public : https://profile.microsoft.com/RegSysSubscriptionCnt/SubCntDefa ult.aspx?LCID=1036&SIC=1 IT Pro : https://profile.microsoft.com/RegSysSubscriptionCnt/SubCntDefa ult.aspx?LCID=1036&SIC=1 Alerte et Bulletins RSS Feed, Instant Messaging, Notification Service (+ Comprehensive)

47 Ressources Général (Abonnements bulletins, alertes, newsflash) Security Guidance Center : Outils : Comme linformatique Interne de Microsoft sécurise-t-elle Microsoft ? E-Learning Clinics : https://www.microsoftelearning.com/security Événements et Webcasts : Hotline sécurité : code 55

48 Nous sommes tous des ingénieurs support Pour notre famille Pour nos amis Pour nos voisins

49

50 La sécurité informatique à la maison

51 Windows Live Safety Center (beta)

52 Microsoft France 18, avenue du Québec Courtaboeuf Cedex


Télécharger ppt "Les ressources : bulletins, outils et publications Michel BERNEUIL Responsable Technique de Compte Microsoft France."

Présentations similaires


Annonces Google