La présentation est en train de télécharger. S'il vous plaît, attendez

La présentation est en train de télécharger. S'il vous plaît, attendez

Nouveautés en matière de sécurité du Service Pack 2 de Windows XP.

Présentations similaires


Présentation au sujet: "Nouveautés en matière de sécurité du Service Pack 2 de Windows XP."— Transcription de la présentation:

1 Nouveautés en matière de sécurité du Service Pack 2 de Windows XP

2 Sommaire Motivation Les 4 grands axes : Protection réseau Navigation Internet Messagerie et messagerie instantanée Protection mémoire Autres améliorations Préinstallation OPK de Windows XP

3 Prolifération des correctifs Temps avant exploitation en baisse Exploitations plus sophistiquée Lapproche classique nest pas suffisante La sécurité est notre priorité n°1 Il ny a pas de remède miracle Le changement nécessite des innovations Blaster Welchia/ Nachi Nimda 25 SQL Slammer Nombre de jours entre le correctif et lexploitation Constats Octobre Sasser

4 Réponses pour améliorer la sécurité Faire tendre vers 0 le nombre de vulnérabilités Améliorer la gestion des correctifs de sécurité Diminuer la vulnérabilité résultante, sans application de correctif Fournir des guides et formations Sensibiliser les utilisateurs

5 Windows XP Service Pack 2 Cumulatif des mises à jour post SP1 Pour autant, ce nest pas un Service Pack classique Ingénierie proactive plutôt que réactive en renforçant la sécurité par des moyens préventifs permettant de bloquer des classes dattaques Réduction de la surface dattaque Renforcement des capacités de défense en profondeur Meilleure sécurité par défaut Meilleure gestion des correctifs de sécurité Diminution du fardeau des décisions de sécurité pour lutilisateur Approche bouclier pour diminuer les attaques possibles et faire en sorte que 7 correctifs sur 10 déployables à votre rythme

6 Windows XP Service Pack 2 Focus sur 4 grands types dattaque Réseau (pare-feu amélioré / configuration réseau RPC DCOM renforcée) Messagerie électronique et messagerie instantanée (pièces jointes) Navigation Internet (ActiveX, pop-up) Mémoire (protection de la mémoire améliorée contre les Buffer overflows) Autres améliorations liées à la maintenance de la sécurité

7 Protection réseau Pare-feu Windows RPC / DCOM

8 Activé par défaut sur toutes les interfaces (LAN, modem, VPN, Wi-Fi,…) Réseau dentreprise Protection lors du démarrage avec règle statique par défaut (sauf si désactivé) : seuls DNS, DHCP et Netlogon sont autorisés jusquà ce que le pare- feu ait démarré Détecte automatiquement la connexion au réseau dentreprise et utilise la configuration correspondante (profil du domaine vs profil standard) Internet Restriction de certains services au réseau local ou à une certaine étendue (adresses sources) Pare-feu activé en permanence

9 Pare-feu Windows 3 modes opérationnels Activé (trafic entrant autorisé = exception) Activé sans exception (plus de trafic entrant non sollicité, conservation des réglages) Désactivé Configuration globale (réglage par interface possible) Liste dexceptions Ouverture statique de ports Config doptions ICMP Simplification des réglages (ex : partage de fichiers) Journalisation des paquets rejetés et des connexions réussies Support de IPv6

10 Gestion du pare-feu Windows Interface utilisateur Ligne de commande (Netsh) Stratégie de groupe API Fichier dinstallation unattended

11 Pare-feu Windows Stratégies de groupe Mise à jour de system.adm (en éditant une GPO depuis un poste XPSP2, les nouveaux paramètres SP2 seront ajoutés à la GPO éditée) GPO et cohabitation SP1 et SP2 Avant : Modèles dadministration\Réseau\Connexions réseau Interdire lutilisation de pare-feu de connexion Internet sur le réseau de votre domaine DNS Maintenant (nouvelles GPO) : Configuration ordinateur\Modèles dadministration\Réseau\Connexions réseau\Pare-feu Windows\Profil standard (ou Profil du domaine) Protéger toutes les connexions réseau Nautoriser aucune exception Empêcher les notifications …

12 Pare-feu Windows Liste des exceptions Dans les versions précédentes, les applications devaient demander explicitement louverture dun port (API) Or, les ports ne sont pas toujours connus à lavance Nouvelles fonctionnalité : toute application ajoutée à la liste ouvrira les ports nécessaires quel que soit le contexte de sécurité La manipulation de la liste demande les privilèges administrateurs Stratégies de groupe Définir les exceptions de port Autoriser les exceptions de ports locaux (permet aux administrateurs locaux dajouter des exceptions)

13 Pare-feu Windows Support broadcast et multicast Les trafics de broadcast et de multicast sont différents de lunicast car la réponse provient dun hôte inconnu La pare-feu autorise une réponse unicast pendant 3 secondes depuis nimporte quelle adresse source avec le même port que celui duquel le trafic a été émis La pare-feu autorise une réponse unicast pendant 3 secondes depuis nimporte quelle adresse source avec le même port que celui duquel le trafic a été émis Stratégie de groupe : empêcher les réponses monodiffusion pour des requêtes multidiffusion ou diffusion

14 Pare-feu Windows Profils multiples Chaque profil correspond à un paramétrage Lun pour le réseau dentreprise (domaine), lautre pour les autres réseaux (ex : hôtel, hotspot) Si aucun contrôleur de domaine sur le réseau : profil standard Sinon profil domaine Attention : nécessite un domaine (les machines en groupe de travail nont quun seul profil) Recommandation : configurer les 2 profils

15 Utilisateurs administrateurs locaux Si vos utilisateurs sont administrateurs locaux de leurs machines et si vous craignez quils puissent installer le SP2 de leur propre chef, vous pouvez désactiver le pare-feu a priori en créant les clés de registre HKEY_LOCAL_MACHINE\SOFTWARE\Polici es\Microsoft\FirewallPolicy\DomainProfile \EnableFirewall=0 (DWORD) HKEY_LOCAL_MACHINE\SOFTWARE\Polici es\Microsoft\FirewallPolicy\StandardProfile \EnableFirewall=0 (DWORD)

16 Déploiement du pare-feu sans les stratégies de groupe Netfw.inf à linstallation px?familyid=cb307a1d-2f97-4e63-a581- bf25685b4c43&displaylang=en px?familyid=cb307a1d-2f97-4e63-a581- bf25685b4c43&displaylang=en Script netsh après linstallation netsh firewall set portopening UDP 1434 Slammer

17 Amélioration RPC / DCOM Restriction RPC Sexécute avec des privilèges moindre Requière une authentification sur les interfaces par défaut (clé de registre RestrictRemoteClients) Possibilité de restreindre à la machine locale par programmation Désactivation de RPC via UDP par défaut Restriction DCOM Sexécute avec des privilèges moindre Contrôle daccès plus stricte et paramétrable via le registre (accès, lancement, activation)

18 Nouvelles permissions DCOM PermissionAdministratorEveryoneAnonymous Launch Local launch Local activate Remote launch Remote activate Access Local call Remote call

19 Navigation Internet plus sure

20 Les zones de sécurité dIE Zone Poste de travail Non montrée dans linterface utilisateur Tout contenu HTML sur la machine locale Niveau de sécurité Faible pour supporter les applications HTML Sites de confiance Niveau de sécurité : Faible Intranet local Machines dans votre domaine Niveau de sécurité : moyennement bas Internet Noms FQDN Niveau de sécurité : Moyen Sites sensibles Utilisé par les applications pour manipuler des HTML avec un niveau de sécurité Haut

21 Navigation plus sure Verrouillage des zones Poste de travail et intranet Amélioration de la notification pour lexécution et linstallation dapplications ou de contrôles ActiveX Éviter lusurpation dinterface graphique Bloqueur déléments contextuels (pop-ups!) Bloque les pop-ups non sollicités Peut permettre des pop-ups pour certains domaines (ex: intranet) Les fenêtres ouvertes par un clic de lutilisateur ne sont pas restreintes

22 Verrouillage de la zone Poste de travail Avant le SP2 : les fichiers de la machine locale et le contenu associé navaient pas de zone Désormais, tout le contenu local est dans le contexte de sécurité de la zone Poste de travail (afin déviter les tentatives délévation de privilèges)

23 Gérer les modules complémentaires Visualisation et contrôle des modules complémentaires chargés Ladministrateur peut établir la liste des modules complémentaires autorisés et interdits Attention : ces modules peuvent toujours être appelés par dautres composants, doù limportance de gérer linclusion de modules complémentaires

24 Comportements binaires; cache Comportements binaires Composants qui encapsulent certaines fonctionnalités pour des éléments HTML Préalablement non contrôlés, peuvent maintenant être restreints par zone En particulier, Sites sensibles Mise en cache des objets Auparavant : des objets pouvaient être mis en cache pour donner accès à des contenus dune autre page Web (le navigateur affiche du contenu et des objets de 2 sites) Problème : lobjet en cache (script) pouvait écouter des événements dans un autre frame (carte de crédit) Erreurs « Accès refusé ». Lobjet doit être remis en cache avant de pouvoir être accédé par script

25 Types MIME Le type MIME (Multipurpose Internet Mail Extensions) détermine la façon dont un contenu est manipulé Ex : une image est affichée alors quun exécutable provoquera une boîte de dialogue de téléchargement Nouvelles règles pour éviter lusurpation de type MIME Le MIME « sniff » déterminera si un fichier est un exécutable déguisé (signature de bits). Tous les fichiers ainsi détectés auront leur extension modifiée et seront enregistrés dans le cache Important : correspondance sur le sites des entêtes et des extensions

26 Éditeurs de confiance Une seule boîte de dialogue par ActiveX et par page (pour que lutilisateur naccepte pas par résignation suite à de multiples demandes) Auparavant : option de toujours faire confiance à un éditeur Maintenant : option inverse aussi disponible La description de lapplication et du nom de léditeur sont affichés pour éviter les confusions (faux CLUF)

27 Restrictions sur les fenêtres Interdiction de créer une fenêtre pop-up sans la barre dadresse, la barre de titre et la barre doutils Interdiction de déplacement dune fenêtre par script en dehors de la zone visible par lutilisateur

28 Blocage de lélévation de zone Empêche la modification des paramètres de sécurité depuis un contenu qui sexécute dans une zone inférieure Les pages Web qui appelles dautres pages plus privilégiées échouent (une page dans la zone Internet ne peut pas naviguer vers une page de la zone Poste de travail) En navigant dune zone peu privilégiée vers…..IE aura le comportement suivant Poste de travail Blocage Sites de confiance Demande Intranet local Demande InternetAutorisation Sites sensibles Autorisation

29 Nouvelles stratégies de groupe (GPO) Configuration utilisateur\Modèles dadministration\Composants Windows\Internet Explorer Gestion des modules complémentaires : Mode … Configuration utilisateur\Modèles dadministration\Composants Windows\Internet Explorer\Panneau de configuration de Internet\Onglet Sécurité Configuration utilisateur\Modèles dadministration\Composants Windows\Internet Explorer\Panneau\Fonctionnalités de sécurité Internet Explorer, Tous les processus ou Liste des processus

30 Messagerie et messagerie instantanée plus sures

31 Pièces jointes Gestion des pièces jointes Pour gérer en un point unique la notion de confiance en un type de pièce jointe Pour permettre aux applications davoir un moyen cohérent de déterminer les pièces jointes dangereuses Création dune API publique de gestion des pièces jointes (Attachment Execution Services) au niveau du système pour une gestion cohérente pour toutes les applications Par défaut : tout est considéré comme dangereux Outlook Express, Windows Messenger, Internet Explorer utilisent la nouvelle API Ouverture et exécution avec le minimum de privilèges

32 Outlook Express Aperçu de message plus sûr Améliorations dans OE comparables à celles dOutlook HTML en zone Sites sensibles Non téléchargement du contenu HTML externe Protection du carnet dadresses Protection contre le contenu exécutable

33 Protection mémoire Réduction de lexposition à certains buffer overflows

34 Compilation avec /GS (Visual Studio 2003) Sens croissant des adresses BuffersAutres vars EBP EIP Args Une pile nomale BuffersAutres vars EBP EIP Args cookie Pile VC (avec /GS) BuffersAutres vars EBP EIP Args cookie Pile VC (avec /GS et les safe exceptions)

35 Prévention de lexécution des données Prise en charge de la protection matérielle contre lexécution (NX : No Execute) des processeurs récents (Itanium / AMD64) Seules les régions de mémoire marquées explicitement pour lexécution peuvent sexécuter (mode noyau et mode utilisateur) Activé par défaut pour les binaires Windows Attention : applications de type compilateur juste à temps

36 Autres améliorations

37 Mises à jour automatique Écran modal lors de linstallation sauf si AutomaticUpdates=1 in the [Data] section of the UNATTEND.TXT GPO Déjà réglé pour installation planifiée Client pour Windows Update Services (SUS2) Gestion de la reprise du téléchargement dun correctif interrompu ou incomplet Note : son réglage nest pas modifié par Sysprep Windows Update v5 MSI 3.0

38 Autres améliorations Réduction de la surface dattaque : désactivation du service Windows Messenger (pop-up Windows) et Alerter Autres Windows Media Player 9 DirectX 9.0b Bluetooth 2.0 Nouveau client WLAN universel

39 Centre de sécurité Outil de suivi des 3 étapes de protection des PC Pare-feu Mise à jour automatique Antivirus à jour

40 Conclusion Une étape dans le voyage vers des plateformes, applications et périphériques sécurisés Permettra une meilleure protection Vous donnant du temps pour la gestion des correctifs de sécurité Limitant limpact des vers et des virus Augmentant la difficulté pour les attaquants Large diminution de classes de vulnérabilités (vs correction ponctuelle) Attaques réseau Attaques dingénierie sociale Buffer overflows Contrôle administratif des changements Stratégie de groupe, scripts en ligne de commande, registre

41 Informations disponibles Infos sur le SP2 : Infos techniques sur le SP2 : wsxp/sp2/ wsxp/sp2/ wsxp/sp2/ Déploiement du SP2 : /deploy/xpsp2dep.mspx /deploy/xpsp2dep.mspx /deploy/xpsp2dep.mspx Site OEM :

42 OEM Preinstallation Kit Préinstallation de Windows avec les technologies WinPE & OPK Benjamin NATHAN Partners & System Builders Technology Specialist

43 Méthodologie souple Méthodologie souple Permet de choisir entre différentes méthodes de préinstallation : CD Rom, Disque dur, Disque de démarrage MS DOS. Personnalisation Souplesse avec le matériel Souplesse avec le matériel Préinstallation dapplications Préinstallation dapplications Fonctionnalités dAudit Fonctionnalités dAudit Permet dajouter au système dexploitation des raccourcis et des informations de personnalisation Permet de préinstaller des pilotes pour les périphériques dont le support nest pas initialement intégré dans le système dexploitation Permet dinstaller des programmes logiciels pendant linstallation de Windows 2000 Server Permet de tester des ordinateurs préinstallés sans interrompre la procédure de préinstallation Avantages du Kit de Pré-installation OEM (OPK)

44 Jeu de configuration Rassemble les paramètres de configuration de la pré- installation Ordinateur de destination Ordinateur de destination Ordinateur sur lequel linstallation de Windows XP va être copiée soit par Duplication de disque, soit par Syspart, soit par transfert réseaux Pré-installation Procédure de chargement de Windows XP sur les nouveaux ordinateurs Image Copie exacte du fichier original et de la structure du répertoire Ordinateur de référence Ordinateur de référence Ressource contenant larborescence qui spécifie tout le logiciel qui doit être distribué sur les ordinateurs de destination. Ordinateur Principal Ordinateur qui reçoit linstallation principale de Windows XP Server qui est ensuite dupliquée sur les serveurs de destination. Terminologie

45 Procédure de pré-installation Ordinateur du technicien Ordinateur du technicien Installez les outils de lOPK Activez les applications Créez un jeu de configuration Copiez le fichier Winbom.ini sur une disquette, un CD personnalisé ou une mémoire USB Installez les outils de lOPK Activez les applications Créez un jeu de configuration Copiez le fichier Winbom.ini sur une disquette, un CD personnalisé ou une mémoire USB Démarrez lordinateur à laide du CD OPK Windows XP Insérez la disquette Winbom.ini lors du démarrage Démarrez lordinateur à laide du CD OPK Windows XP Insérez la disquette Winbom.ini lors du démarrage Rescellez lordinateur ou exécutez dabord le mode Audit ou Usine à modifier, puis rescellez ensuite Ordinateur maître Ordinateur maître Créez une image de linstallation et stockez-la sur lordinateur du technicien Déployez limage à partir de lordinateur du technicien vers le ou les ordinateur(s) de destination Ordinateurs de destination

46 Installation des outils de lOPK

47 Exécution du Setup Manager OEM Ajout des différents OS à déployer Même outil pour déployer Windows XP, Windows Server 2003 dans tous les langages et toutes les versions (SKUs) Possibilités de personnalisation logos, références machines, options des OS applications installées… Setup Manager

48 Préinstallation OEM en utilisant le Setup Manager Corporate Est-ce que les System Builders sont obligés dutiliser les outils de préinstallation réseaux ? Non Les System Builders peuvent aussi créer et utiliser de méthodes de pré-installation basées sur un CD en utilisant un fichier de réponses WINNT.SIF Les outils du setup manager Corporate se trouve dans le fichier DEPLOY.CAB situé sur le CD dinstallation Windows XP.

49 System Preparation Tool (Sysprep.exe) Factory Mode exécute Winbom.ini, Installe les drivers et applications et rajoute les données clients Audit Mode fourni une méthode simple pour vérifier les personnalisations, rajouter des drivers et des applications manuellement et rebooter la machine Reseal Mode retire la clé produit utilisée pendant linstallation, reset lEULA et prépare la machine pour la livraison

50 Interim WinPE Support de WMI Possibilité de créer des images iWinPE qui contiennent les classes WMI Supporte plus de 40 provider WMI et 1500 classes Permet daccéder directement au hardware de la machine au travers de iWinPE Exemples de scripts de test Hardware Utilisation de WMI pour tester la configuration de la machine Possibilité dutiliser certaines APIs Windows et dutiliser des scripts

51 Interim WinPE Support des périphérique Plug and Play Possibilité de créer des images WinPE capables de détecter dynamiquement les périphériques & lajout des drivers associés Accès aux Périphériques Windows 32 bit et 64 bit Possibilité de charger WinPE en RAM Utilisation dun RAM Drive pour pouvoir changer de CD pour par exemple exécuter des tests Support du protocole PXE

52 Comment intégrer le Service Pack 2 dans une image dinstallation de Windows XP existante ? Ajout dans les images partagées dans le répertoire OPKTools – Etape par Etape 1.Télécharge la mise à jour complète Standalon du Service Pack : XPSP2.EXE 2.Créer un répertoire sur C:\ appelé XPPro pour Windows XP Professional et XPHome pour XP Home 3.Copier le contenu du CD de Windows XP Pro et Home dans ces répertoires 4.Ouvrir une ligne de commande et taper 5.XPSP2.EXE /integrate:C:\XPPro 6.Lorsque linstallation du Service Pack 2 est terminée, vous verrez un message du type : Integrated install has completed successfully. 7.Maintenant, aller dans le menu Outils – Gestion des Produits dans le Setup Manager (Tools – Manage Products) 8.Cliquer sur Ajouter un nouveau produit et naviguer vers les répertoires C:\XPPro et C:\XPHome

53 Installation des patchs Utilisation du Catalogue Windows Update Attention aux droits de redistribution Récupération des patchs depuis le site OEM Uniquement les patchs critiques Utilisation dun serveur SUS ou WUS Récupération des patchs et déploiement sur les machines Attention à la configuration de la machine ensuite Utilisation dun script pour rétablir la configuration

54 RIS & Préinstallation Possibilité de rajouter WinPE dans les déploiements RIS Remote Installation Services : Windows Server 2003 Utilisation du fichier Winbom.ini Jeux de configuration Personnalisation du déploiement Ajout dapplications Déploiement via un réseau : boot PXE

55 enregistrement sur : Site Microsoft OEM oem.microsoft.com Vous voulez tout savoir sur les produits OEM : Informations techniques Guide étape par étape pour la pré-installation OEM de Windows XP Newsgroup Microsoft OEM Informations commerciales Vous souhaitez promouvoir vos PC avec les produits Microsoft : Toolsore Outils daide à la vente - Gratuits

56 © 2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.


Télécharger ppt "Nouveautés en matière de sécurité du Service Pack 2 de Windows XP."

Présentations similaires


Annonces Google