La présentation est en train de télécharger. S'il vous plaît, attendez

La présentation est en train de télécharger. S'il vous plaît, attendez

Windows XP SP2 et Windows Server 2003 SP1 Pascal Sauliere Consultant Principal Sécurité, CISSP Microsoft France.

Présentations similaires


Présentation au sujet: "Windows XP SP2 et Windows Server 2003 SP1 Pascal Sauliere Consultant Principal Sécurité, CISSP Microsoft France."— Transcription de la présentation:

1 Windows XP SP2 et Windows Server 2003 SP1 Pascal Sauliere Consultant Principal Sécurité, CISSP Microsoft France

2 La stratégie sécurité de Microsoft Authentification,Autorisation,Audit Excellencedelengineering Conseils,Outils,Réponse Mise à jour avancée Isolation et résilience

3 Sommaire

4 Windows XP SP2 Réduction des modes dattaque Communiquer et collaborer de manière plus sécurisée sans sacrifier la productivité des collaborateurs Protection réseau Mail et IM plus sûrs Navigation Web plus sûre Mémoire Pare-feu amélioré Configuration réseau RPC DCOM renforcée Pièces jointes ActiveX, pop-up Protection contre les Buffer Overflow

5 Réseau : pare-feu, DCOM, RPC… Objectifs Fournir par défaut une meilleure protection contre les attaques réseau Systèmes nomades, PME, utilisateurs à la maison Ce que nous faisons Services Alerter et Messenger désactivés par défaut Pare-feu Windows en service par défaut Plus doptions de configuration – stratégies de groupe, ligne de commande (netsh), interface graphique Protection lors du démarrage Support de plusieurs profils – domaine et standard Restriction des connexions anonymes pour DCOM/RPC Impacts sur les applications Les connexions réseau entrantes ne sont plus permises par défaut Les ports qui écoutent ne sont ouverts que pendant que lapplication sexécute

6

7

8 Pièces jointes : OE, IE, IM… Objectifs Mécanisme système cohérent permettant de déterminer les attachements dangereux Expérience cohérente lors de la décision de faire confiance à un attachement Ce que nous faisons Créer une nouvelle API publique pour gérer les attachements sans danger (Attachment Execution Service) Par défaut, on ne fait pas confiance aux attachements dangereux Outlook Express, Windows Messenger, IE modifiés pour utiliser la nouvelle API Ouvrir / exécuter les attachements avec le moins de privilège possible Prévisualisation sans danger des messages Remplace AssocIsSafe() Impact sur les applications Utiliser les nouvelles API dans vos applications pour une meilleure expérience utilisateur et une meilleure détermination du danger dun contenu Les applications concernées par les attachements peuvent être impactées

9 Navigation Web Objectifs Assurer une expérience de navigation Web sécurisée Ce que nous faisons Verrouiller les zones local machine et local intranet Améliorer les notifications lors de lexécution ou de linstallation de contrôles et dapplications ActiveX Désarmer les attaques en cross domain script sur les API Limitation de lusurpation dinterface utilisateur Suppression des fenêtres de pop-up sauf si elles sont lancées par une action utilisateur Impact sur les applications Contrôler la compatibilité des applications Web avec le nouveau paramétrage par défaut plus sécurisé Les applications business qui utilisent les pop-ups peuvent nécessiter un changement ou être ajoutées à la liste des exceptions

10 Protection contre lexécution des données Objectifs Réduire lexposition à certains buffer overruns Ce que nous faisons Tirer parti du support hardware des processeurs 64 bits et des derniers processeurs 32 bits pour ne permettre lexécution de code en mémoire que dans des régions spécifiquement marquées comme execute Réduit lexploitabilité des buffer overruns Mis en service par défaut sur toutes les machines capables de le faire pour les binaires Windows Impact sur les applications Assurez-vous que votre application nexécute par de code dans un segment data Assurez-vous que votre code sexécute en mode PAE avec moins de 4 GO de RAM Utiliser VirtualAlloc avec PAGE_EXECUTE pour allouer de la mémoire utilisée pour y charger un exécutable Tester votre code sur des processeurs 64 bit et 32 bits avec execution protection

11 Autres améliorations Nouveau « Centre de sécurité » Amélioration du service de mise à jour automatique des postes Intégration du nouveau client Windows Update Services Nouveau client réseau sans fil universel Améliorations du client Bluetooth Mise à jour de Windows Media Player 9

12 Sommaire

13 Objectifs de Windows Server 2003 SP1 Sécurité améliorée Réduction de la surface dattaque Nouvelles amélioration de la sécurité Configuration par défaut plus sûre et réduction des privilèges des services : RPC, DCOM Support du matériel « No Execute » : Intel, AMD Pare-feu Windows activé par défaut : nouveau scénario dinstallation Assistant Configuration de la Sécurité (SCW) : configuration et « verrouillage » par rôle Audit de la metabase IIS 6.0 Fiabilité améliorée Performances améliorées Amélioration 10%+ pour TPC, TPC-H, SAP, SSL, etc.

14 Fonctionnalités reprises de Windows XP SP2 Pare-feu Windows Configuration : Stratégies de groupes, ligne de commande, installation silencieuse Protection au démarrage Configuration selon le rôle du serveur Protection de RPC/DCOM Objets RPC exécutés avec des privilèges réduits Nouvelles clés de registre RPC Permet aux applications serveurs de restreindre laccès aux interfaces Restrictions daccès DCOM complémentaires Modèle dauthentification renforcé Réduction globale du risque lié aux attaques Les ports RPC et DCOM sont gérés comme un cas particulier par le pare-feu Windows

15 Mises à jour de sécurité post- installation pour Windows Server (PSSU – Post-Setup Security Updates) Objectif : protéger le premier démarrage et appliquer les derniers correctifs de sécurité Exécuté au premier logon administrateur si le pare-feu Windows nest pas activé explicitement par le script dinstallation ou les stratégies de groupe Bloque les connexions entrantes jusquà ce que ladministrateur clique sur « Terminer »

16 Mises à jour de sécurité post- installation pour Windows Server

17 Lien vers Windows Update Possibilité de configurer les mises à jour automatiques (Auto Update) Ré-exécuté si non terminé au premier redémarrage En cas de fermeture forcée (Alt+F4), aucun changement nest appliqué au pare-feu, PSSU sera ré-exécuté au prochain logon administrateur

18 Assistant Configuration de la Sécurité Réduction de la surface dattaque pour les serveurs Windows Métaphore des rôles Désactive les services non nécessaires Désactive les Extensions Web IIS non nécessaires Bloque les ports non utilisés, y compris sur les systèmes à plusieurs cartes réseau Aide la sécurisation des ports laissés ouverts par IPsec Réduit lexposition des protocoles (signature LDAP & SMB, Compatibilité Lan Man et LMHash…) Configure laudit (SACLs) Possibilité dimport de modèles SCE Sécurité simplifiée Les rôles simplifient les décisions Processus automatisé par rapport à de la documentation détaillée Entièrement testé et supporté par Microsoft

19 Opérations liées à SCW Retour en arrière en cas dinterruption de service imprévue Analyse, pour vérifier la conformité des machines par rapport aux stratégies Configuration et analyse à distance Ligne de commande pour configuration et analyse à distance et en masse Intégration à Active Directory pour un déploiement par stratégies de groupe Possibilité déditer les stratégies créées, lorsque les machines sont réaffectées Vues XSL de la Base de Connaissances, des stratégies et des résultats danalyse

20 Windows Server 2003 SP1 Quelques autres nouveautés Access-based Enumeration – ne montrer aux utilisateurs que les fichiers et répertoires auxquels ils ont accès. Outil de configuration : RRAS : support des outils de quarantaine (rqc/rqs) Terminal Services : utilisation de SSL/TLS 1.0 pour lauthentification du serveur et le chiffrement (client RDP 5.2 sur Windows 2000, XP, 2003) Whats New in TS :

21 Références Changes to Functionality in Microsoft Windows Server 2003 Service Pack 1 amilyID=c3c ce3-46e2-b1b b92b2cde&DisplayLang=en (anglais) amilyID=c3c ce3-46e2-b1b b92b2cde&DisplayLang=en amilyID=c3c ce3-46e2-b1b b92b2cde&DisplayLang=en Changes to Functionality in Microsoft Windows XP Service Pack 2 ppro/maintain/sp2chngs.mspx (anglais, français) ppro/maintain/sp2chngs.mspx ppro/maintain/sp2chngs.mspx

22 Sommaire

23 Compatibilité des applications Domaine fonctionnel Statut compatibilité NX & /GS Expérience utilisateur modifiée Gestion des pièces jointes Pare-feu Windows Applications, services Configuration requise (peu dapplications) DCOM & RPC Launch and activation permissions, remote anonymous access, remote non-admin activation & launch, RPC requires authenticated access Autres composants Internet Explorer Pop-up blocker, auto download blocking, windows restrictions, MIME handling, binary behaviors, object caching, zone elevation, LMZ lockdown, mk:// protocol Configuration requise (quelques applications)

24 Application Compatibility Toolkit (ACT) ACT 4.0 (mars 2005) Spécifiquement conçu pour le SP2 Pour les professionnels Disponible : ppcompatibility/default.mspx ppcompatibility/default.mspx ppcompatibility/default.mspx Application Compatibility Testing and Mitigation Guide for Windows XP Service Pack 2 (SP2) ppro/deploy/appcom/default.mspx ppro/deploy/appcom/default.mspx ppro/deploy/appcom/default.mspx

25

26

27

28 Sommaire

29 Projet de déploiement Points clés Le déploiement de XP SP2 est un événement majeur Traitez-le comme un mini déploiement dOS Testez, testez, testez ! Les utilisateurs seront impactés Formation et communication Profitez de SMS 2003 pour minimiser limpact du déploiement Profitez dActive Directory pour ladministration

30 Points clés du projet Gestion de projet Compatibilité des applications Revue et mise à jour de la politique de sécurité Éducation et formation des utilisateurs Déploiement en phases

31 Méthodes de déploiement Mise à jour – systèmes existants Installation intégrée (slipstream) – nouveaux systèmes

32 Outils et fichiers (XP SP2) WindowsXP-KB SP2-ENU.exe WindowsXP-KB SP2-FRA.exe XPSP2.EXE sur le CD Update.exe (dans update\) Windows Installer et Update.msi (dans update\) Unattend.txt pour les installations intégrées

33 Outils et fichiers Extraction : XPSP2.EXE /u /x: Extraction : XPSP2.EXE /u /x: XPSP2.EXE /? update\update.exe /?

34 Déploiement mise à jour SMS 2.0 SMS 2003 Autres systèmes de télédistribution Exemple : update.exe /quiet /forcerestart Stratégie de Groupe, update.msi SUS [WSUS]

35 Installation intégrée Créer un répertoire de distribution md d:\xpsp2\pro Créer un répertoire de distribution md d:\xpsp2\pro Copier Windows XP GOLD dans le répertoire xcopy [CD]:\ d:\xpsp2\pro /e Copier Windows XP GOLD dans le répertoire xcopy [CD]:\ d:\xpsp2\pro /e Extraire les fichiers du SP2 WindowsXP-KB SP2-FRA.exe /u /x:d:\temp Extraire les fichiers du SP2 WindowsXP-KB SP2-FRA.exe /u /x:d:\temp Intégrer le SP2 dans le répertoire de distribution d:\temp\i386\update\update.exe /integrate:d:\xpsp2\pro Intégrer le SP2 dans le répertoire de distribution d:\temp\i386\update\update.exe /integrate:d:\xpsp2\pro Personnaliser linstallation de Windows XP Personnaliser linstallation de Windows XP

36 Nouveaux modèles dadministration Modèles : system.adm (Windows 2000, XP, 2003) inetres.adm (Internet Explorer) conf.adm (NetMeeting 3.01) wmplayer.adm (Windows Media Player) wuau.adm (Automatic Updates)

37 Modèles dadministration

38 Nouveautés Créer le GPO avec Active Directory Users and Computers ou GPMC Éditer le GPO depuis un poste Windows XP SP2 Pour mettre à jour les.adm sur les DC Correctif pour lerreur « The following entry in the [strings] section is too long and has been truncated » sur Windows Server 2003, 2000, XP SP1…

39 Nouveautés Configuration du client AutoUpdate Configuration du Centre de Sécurité Configuration du Pare-feu Windows Configuration dInternet Explorer Configuration des réseaux sans fil avec WPA, WPA-PSK, TKIP

40 Références Recommendations for managing Group Policy administrative template (.adm) files The following entry in the [strings] section is too long and has been truncated error message when you try to modify or to view GPOs in Windows Server 2003, Windows XP, or Windows Group Policy Settings Reference for Windows XP Professional Service Pack 2

41 Microsoft France 18, avenue du Québec Courtaboeuf Cedex


Télécharger ppt "Windows XP SP2 et Windows Server 2003 SP1 Pascal Sauliere Consultant Principal Sécurité, CISSP Microsoft France."

Présentations similaires


Annonces Google