Windows XP SP2 Point de vue du développeur Gilles Guimard Jean Gautier )

Slides:



Advertisements
Présentations similaires
Nouveautés en matière de sécurité du Service Pack 2 de Windows XP Cyril VOISIN Chef de programme Sécurité Microsoft France.
Advertisements

GESTION D’IMPRISSION SOUS WINDOWS & LINUX
ESU Faciliter la gestion dInternet au CDI avec ESU.
Hygiène de la messagerie chez Microsoft
Protection du réseau périphérique avec ISA 2004
Botnet, défense en profondeur
Protection de Exchange Server 2003
ASP.NET 2.0 et la sécurité Nicolas CLERC
Point de vue du développeur
Agenda de la journée 10h00 : La place dASP.NET dans la plate-forme Microsoft 10h30 : Développement rapide dapplications Web en ASP.NET 12h00 : Construire.
« Les Mercredis du développement » Introduction Office « 12 » Présenté par Bernard Fedotoff Microsoft Regional Director Agilcom.
Windows Server 2003 SP1. Survol technique de Windows Server 2003 Service Pack 1 Rick Claus Conseillers professionnels en TI Microsoft Canada.
Nouveautés pour les développeurs Office System Scott Burmester Responsable des programmes PSPS.
Automatisation de Tâches Scenarios
TOUQUET Arnaud ▪ GI05 BLONDEEL Igor ▪ GM05
Connecter des données métier à Office SharePoint Server 2007 via le Business Data Catalog.
Personnalisation des sites SharePoint avec SharePoint Designer 2007
Construire un site Web Internet en utilisant Microsoft Office SharePoint Server 2007.
Introduction aux fonctions de gestion de contenu Web dans Microsoft Office SharePoint Server 2007.
ISP/ASP ISP ASP Conclusion DESS Réseaux 2000/2001
Vue d'ensemble Vue d'ensemble de la sécurité dans Windows Server 2003
Vue d'ensemble Création de comptes d'utilisateurs
Cours d'administration Web - juin Copyright© Pascal AUBRY - IFSIC - Université de Rennes 1 Mandataires, caches et filtres Pascal AUBRY IFSIC - Université
Systèmes d’exploitation
Cursus des formations informatique Programme
Sécurité Informatique
ManageEngine ADSelfService Plus
Les Services Web Avec.NET version 1.1. Un service Web en bref… Méthodes ou objets accessible à distance via SOAP (Simple Object Access Protocol ); SOAP.
Module 1 : Préparation de l'administration d'un serveur
Citrix® Presentation Server 4.0 : Administration
« Les Mercredis du développement » Retour dexpérience / Framework de dév. Présenté par Grégory Renard [Rédo] Responsable Développement.
ASP.NET un peu plus loin… Développement Rapide dApplications Web avec.NET.
Développement Rapide dApplications Web avec.NET « Mon premier site »
Accès aux données généralisé SQL est presque une solution! Le problème: Le SQL n'est pas une langue complète, et doit être intégré dans un langage de programmation.
Introduction RADIUS (Remote Authentication Dial-In User Service)
GESTION DE PARCS D’ORDINATEURS
BitDefender Enterprise Manager. BitDefender Enterprise Manager – protection centralisée pour votre réseau Principales fonctions Fonctions spéciales (WMI)
A4.1.1 Proposition dune solution applicative A4.1.2 Conception ou adaptation de linterface utilisateur dune solution applicative A4.1.2 Conception ou.
Présentation 1. Consumer/Soho Small BusinessMidsize Business CorporateEnterprise Windows Home Server 1-4 employés 1-4 PCs 1-4 employés 1-4 PCs 5-49 employés.
Microsoft .NET.
Module 8 : Maintenance des logiciels à l'aide des services SUS
Java Authentication And Authorization Service API
Développement dapplication avec base de données Semaine 10 : WCF avec Entité Framework Automne 2013.
33ème colloque Pédagogique
Travail réalisé par : LATRECHE Imed Eddine MENASRIA Med Lamine
Travail de diplôme José Garrido Professeur : Philippe Freddi Explorer Internet en toute sécurité Surf Safe SPY INTERNET.
PHP 5° PARTIE : LES COOKIES
Aperçu Technique de Windows Server 2003 SP1 Christophe Lauer - Relations Techniques Editeurs de Logiciels Division Développeurs & Plate-forme d’Entreprise.
Sécurité et confidentialité dans Microsoft Internet Explorer William Keener Développement de contenu Global Service Automation Microsoft Corporation.
Citrix ® Presentation Server 4.0 : Administration Module 11 : Activation de l'accès Web aux ressources publiées.
Cours de programmation web
Créer des packages.
Erreurs commises couramment dans le domaine de la sécurité 1.Sensibilisation aux questions de sécurité 2.Suivi des incidents 3.Gestion déficiente des.
Jean-Luc Archimbaud CNRS/UREC
Introduction à la plateforme .NET
Windows XP Service Pack 2 Webcast Sécurité Cyril VOISIN Chef de programme Sécurité Microsoft France.
Exemples de paramètrage ACL VLAN niveau 3
FTP : File Transfer Protocol (protocole de transfert de fichier ) est un protocole de communication destiné à l'échange informatique de fichiers sur.
Créez des applications Silverlight 3 David Rousset Relations Techniques avec les développeurs Microsoft France
Module 3 : Création d'un domaine Windows 2000
AFPA CRETEIL 14-1 Windows NT Environnement des utilisateurs Chapitre 14.
Initiation au JavaScript
22 Retour d’expérience sur le ver Conficker 8 février 2010 Jean Gautier Security Support Engineer Microsoft France.
Centralisation des sites web d’ELTA & Mise en place d’un serveur NAS
Clifton Hughes Développeur Global Support Automation Microsoft Corporation Présentation du pare-feu de connexion Internet Microsoft Windows XP Clifton.
Module 2 : Planification de l'installation de SQL Server
Stratégies de groupe : GPO
Table Ronde Bulletins de Sécurité MS Bulletin de sécurité hors cycle.
TWP Toolkit Formation 21/10/2009.
Chapitre 9 Configuration de Microsoft Windows XP Professionnel pour fonctionner sur des réseaux Microsoft Module S41.
Transcription de la présentation:

Windows XP SP2 Point de vue du développeur Gilles Guimard Jean Gautier )

Agenda Protection Réseau Le Pare-feu de Windows XP DCOM Connections RPC Protection NX Outils de développement Sécurité du courrier électronique Sécurité Internet Explorer

Pourquoi ce SP2? Plusieurs attaques virales du passé auraient été atténuées si un pare-feu avait été actif La surface dattaque de Windows XP pouvait être largement réduite Simplifier ladministration déléments clés de la sécurité

Nouveautés du Pare-feu Activé par défaut Sécurité dès le démarrage IPV4 et IPV6 sont supportés Multi profils: Domaine/Standard Configurable via Netsh Stratégies de groupe Modèle objet NetFW Fichier INF lors du déploiement

Parefeu Windows Un aperçu rapide

Que se passe til lorsquune application tente douvrir un port réseau?

Configuration du Pare-feu avec netsh Quelques commandes simples: firewall show config firewall add portopening TCP 80 MyWebPort firewall delete portopening TCP 80 firewall add allowedprogram program=c:\windows\system32\notepad.exe name=TheNotepad mode=DISABLE firewall set service type=REMOTEADMIN mode=DISABLE

Configuration du Pare-feu Modèle Objet NetFw using NetFwTypeLib; namespace FirewallConfig { class Program { static void Main(string[] args) { INetFwMgr mgr = (INetFwMgr)System.Activator.CreateInstance( System.Type.GetTypeFromProgID("HNetCfg.FwMgr")); INetFwProfile profile = mgr.LocalPolicy.CurrentProfile; INetFwAuthorizedApplication app = (INetFwAuthorizedApplication) System.Activator.CreateInstance( System.Type.GetTypeFromProgID("HNetCfg.FwAuthorizedApplication")); app.ProcessImageFileName app.Name = "LeNotepad"; app.Enabled = false; profile.AuthorizedApplications.Add(app);}}}

Configuration Pare-feu - Recommandations Réservée à ladministrateur Demander laval de lutilisateur avant de modifier la configuration du pare-feu Adapter la configuration au contexte (Internet, Réseau dentreprise)

DCOM: Ce qui ne change pas Tous les serveurs COM InProcess fonctionneront de la même façon sur Windows XP SP2 Par défaut, tous les serveurs DCOM locaux fonctionneront de la même façon sur Windows XP SP2 Par défaut, tous les clients DCOM fonctionneront de la même façon Les événements ou call backs transforment un client en serveur DCOM

DCOM: Ce qui change Tous les appels DCOM inter machines doivent être authentifiés Le lancement et lactivation à distance sont restreints par défaut aux seuls administrateurs locaux Ladministrateur peut imposer des limites de sécurité globales au poste. Limitant ainsi les modifications au niveau de chaque application (CoInitializeSecurity) Modifiable via DCOMCNFG.EXE

Résumé Sécurité DCOM Distinction entre: Accès distant Accès local Distinction entre: Lancement (création du processus serveur) Activation (création dune instance) Le tout sous le contrôle total de ladministrateur et configurable via DCOMCNFG

Amélioration de la sécurité RPC Ouverture automatique des ports RPC pour les services utilisant les comptes Local System, Network Service ou Local Service Sinon, utiliser les Applications Autorisées Par défaut, toutes les connexions entrantes doivent être authentifiées

Basic & Redirecteur WebDAV WebDAV: Nautorise plus lauthentification Basic Car il ne permet pas dutiliser un canal sécurisé (SSL) Par défaut, Windows XP désactive lauthentification Basic dans le redirecteur WebDAV Par défaut, Windows XP désactive lauthentification Basic dans le redirecteur WebDAV Controlé par: HKLM\SYSTEM\CurrentControlSet\Services\WebCl ient\Parameters\UseBasicAuth (REG_DWORD)

Basic et WinInet Lauthentification Basic sur un canal non sécurisé est désactivé par défaut: Utilisation de SSL ( i.e. HTTPS) Utilisation de SSL ( i.e. HTTPS) Controlé par: HKCU\SOFTWARE\Microsoft\Windows\Curre ntVersion\Internet Settings\DisableBasicOverClearChannel (REG_DWORD)

Protection dexécution (NX) Requière une plateforme matérielle supportant le No Execution Le K8 dAMD et lItanium dIntel supportent NX Permet de rendre beaucoup plus difficile lexploitation de Buffer Overruns Basé sur la protection daccès en exécution de la mémoire

Principe de fonctionnement NX Une exception STATUS_ACCESS_VIOLATION est levée lors dune tentative dexécution de données LPVOID lpvBase = VirtualAlloc( NULL, dwSize, // size of allocation MEM_RESERVE, // allocate reserved pages PAGE_READWRITE); // Read, Write Désactivable

Impact Outils de Développement Visual Studio 2005 (Whidbey) sera pleinement compatible avec Windows XP SP2 Visual Studio 2002 et 2003 auront les services packs requis par le SP2 de XP Impact prévu sur les outils Framework.Net (1.0 et 1.1) (NX) Debogage à distance (Firewall) Debogage SQL (DCOM) VS Analyzer (Firewall) Visual Source Safe (Firewall)

Internet Explorer Fenêtre de gestion des modules complémentaires Activation/Désactivation/mise à jour Module de type: ActiveX Browser Helper Object Extension de barre doutils Détection des problèmes lié à un module complémentaire Affichage du module qui à causé lerreur

Service de pièce attachée Ce service protège le système contre les pièces attachées malveillantes Approche unifiée qui est utilisée par Outlook Express, Outlook 2003 et MSN Messenger Si vous développez une application qui exécute ou sauve des pièces attachées, vous devez utiliser ce service

Service de pièce attachée Donne pour chaque pièce attachée un facteur de risque Basé sur lextension de fichier, le content-type, etc.… Ce facteur de risque est mappé sur les zone de Internet Explorer Linterface COM IAttachmentExecute est le point dentrée pour ce service Remplace la fonction AssocIsDangerous

Internet Explorer Verrouillage de la zone poste de travail Tous les fichiers locaux ouverts dans Internet Explorer disposent dune sécurité renforcée Restreint lutilisation de fichier HTML sur la zone « poste de travail » Aide à prévenir les attaques lorsquelles utilisent du code HTML comme vecteur dattaque Les paramètres par défaut URLACTION_ACTIVEX_RUN désactivé URLACTION_SCRIPT_RUN désactivé URLACTION_CROSS_DOMAIN_DATA prompt URLACTION_BINARY_REHAVIORS_BLOCK désactivé URLACTION_JAVA_PERMISSIONS désactivé

Implications Toutes les applications utilisant des fichiers HTML/Script/ActiveX,applets en local sont impactées Solutions Si vos pages locales utilisent du script ou des ActiveX, vous pouvez insérer dans la page une balise de type Si vos pages locales utilisent du script ou des ActiveX, vous pouvez insérer dans la page une balise de type Enregistrer les fichiers sous forme darchive web (mht) Créer une application séparée et utiliser le contrôle Internet Explorer Notes Nimpacte pas les applications utilisant le contrôle Internet Explorer Nimpacte pas les applications les zones « Intranet » ou « Internet » Les fichiers HTA ne sont pas impactés Le protocole res:// utilise le verrouillage de la zone « Internet »

Internet Explorer Le bloqueur délément contextuel Bloque les fenêtres de type pop-up non désirées Paramétrable par zone Fonctionnalités Activé par défaut Toutes les fenêtres de type pop-up sont bloquées dans la zone Internet Les sites de confiance (https) et les sites de la zone « Intranet local » ne sont pas bloqués par défaut Nimpacte pas les applications utilisant le contrôle Internet Explorer

Internet Explorer Interface utilisateur Outils/Options/Confidentialité La fenêtre est bloquée La fenêtre est affichée car elle est dans la liste des sites à autoriser La fonctionnalité est désactivée

Internet Explorer Options avancées Sites à autoriser – permet les pop-up pour ces sites Bloque tous les pop-up automatiques, créés via des évènements, window_onload(), timers … Les liens ne sont pas bloqués par défaut Lorsque les pop-up sont désactivés pour les liens, la touche ATL+click sur un lien désactive la fonctionnalité On peut activer cette fonctionnalité par zones « Intranet local » et « Site de confiance »

Internet Explorer Restriction sur laffichage des fenêtres Plus possible de désactiver la barre détat via du script La méthode fullscreen est remplacée par un affichage en maximisé Laffichage de fenêtre via la fonction window.createPopup Ne peut apparaître que dans la zone parente Impossible de couvrir la barre de titre, barre détat

Implications Affecte laffichage des fenêtres pour les sites Internet Toutes applications Internet utilisant window.open(), window.showModalDialog/showModelessDialog(), window.navigateAndFind() et showHelp() dans des évènements au chargement/déchargement de la page Nimpacte pas les applications utilisant le contrôle Internet Explorer La nouvelle interface INewWindowManager permet dimplémenter sa propre gestion des pop-up

Implications Try/catch et gestion derreur Popup Tester function openWin() { try { window.open(" } catch (e) { window.alert("Popup window blocked " + e.number); } function handlePopupErrors() { window.alert("Error occurred"); return true; } function showPopup() { window.onerror = handlePopupErrors; window.showHelp(" }

Internet Explorer Le modèle objet Nouvel événement au niveau de lobjet WebBrowser : NewWindow3 Private Sub object_NewWindow3( _ ByRef ppDisp As Object, _ ByRef Cancel As Boolean, _ ByVal dwFlags As Long, _ ByVal bstrUrlContext As String, _ ByVal bstrParentUrl As String Linterface INewWindowManager EvaluateNewWindow

Références MSDN librairie Références Windows XP SP2 XPSP2/default.aspx XPSP2/default.aspx XPSP2/introduction.aspx XPSP2/introduction.aspx XP SP2 RC1 Fact Sheet oom/winxp/windowsxpspfs.asp oom/winxp/windowsxpspfs.asp

Questions?

RestrictRemoteClients RPC_RESTRICT_REMOTE_CLIENT_NONE (0) Configuration pré Windows XP SP2 RPC_RESTRICT_REMOTE_CLIENT_DEFAUL T (1) Pas de connections anonymes (sauf si RPC_IF_ALLOW_CALLBACKS_WITH_NO_AUTH est utilisé lors de lenregistrement RPC_RESTRICT_REMOTE_CLIENT_HIGH (2): Idem 1 mais pas dexceptions admises Ne sapplique pas aux connections RPC via Tubes nommés (ncacn_np)

EnableAuthEpResolution Par défaut, RPC expose une interface permettant de se connecter aux interfaces enregistrées EnableAuthEpResolution: EnableAuthEpResolution: 1: Pas de connections anonymes 0: Connections anonymes autorisées

DCOMPERM Registre HKLM\SOFTWARE\Microsoft\Ole DefaultLaunchRestrictionDefaultAccessRestrictionMachineLaunchRestrictionMachineAccessRestriction Masque de droits COM_RIGHTS_EXECUTE 1 COM_RIGHTS_EXECUTE_LOCAL 2 COM_RIGHTS_EXECUTE_REMOTE 4 COM_RIGHTS_ACTIVATE_LOCAL 8 COM_RIGHTS_ACTIVATE_REMOTE 16