Outils et ressources gratuits pour la sécurité SEC2402 Pascal Sauliere Architecte Direction Technique et Sécurité Microsoft France
Sommaire Gestion des mises à jour Contre les virus et logiciels malveillants Conformité Outils gratuits Ressources Web
http://www.microsoft.com/france/securite
Sommaire Gestion des mises à jour Contre les virus et logiciels malveillants Conformité Outils gratuits Ressources Web
déploiement d’une mise à jour = seul moyen efficace d’éliminer une vulnérabilité
TechCenter Gestion des mises à jour http://technet. microsoft
Guide Microsoft des mises à jour de sécurité …aider les professionnels de l’informatique à comprendre, utiliser et maximiser tous les conseils, communications, programmes et services que Microsoft diffuse, afin de gérer le risque et de développer un mécanisme de déploiement reproductible et efficace pour les mises à jour de sécurité. date
Guide Microsoft des mises à jour de sécurité Proposition de processus concret Utilisation de WSUS ou SCCM
Bulletins de sécurité Publiés le deuxième mardi du mois Points centraux de référence Liens vers les mises à jour Liens vers les Articles de la Base de connaissances Indiquent Synthèse - criticité Logiciels affectés Facteurs atténuants Solutions de contournement Forum aux questions Informations de mise à jour
Bulletins de sécurité Avant publication Préavis 3 jours ouvrés avant 19 novembre 2004 Bulletins de sécurité Avant publication Préavis 3 jours ouvrés avant Nombre de bulletins, niveau de criticité, aperçu des produits affectés Publication 2ème mardi du mois ~19h Correctifs publiés sur le centre de téléchargement et sur les sites Microsoft de mise à jour Notifications envoyées par email http://www.microsoft.com/france/securite/newsletters.mspx
Calendrier des bulletins de sécurité
Phase d’évaluation et de planification Classification de chaque correctif Définir le niveau de priorité du correctif Critique, important, modéré ou faible Élever ou abaisser le niveau de priorité en fonction du risque, des actifs à protéger et des facteurs d’atténuation Facteur Ajustement de la priorité (Important, modéré, faible) Actifs de haute valeur ou très fortement affectés Augmenter Actifs cibles d’attaques dans le passé Facteurs atténuants en place, solutions de contournement Abaisser Actifs de faible valeur ou faiblement affectés Priorité Délai recommandé Délai maximum Critique < 24 h < 2 semaines Important < 1 mois < 2 mois Modéré < 4 mois < 6 mois Faible < 1 an < 1 an ou jamais
Indice d'exploitabilité Possibilité de code d’exploitation fonctionnel Faible possibilité de code d’exploitation fonctionnel Possibilité de code d’exploitation peu fonctionnel
Blog du MSRC http://blogs.technet.com/b/msrc/
Blog du MSRC http://blogs.technet.com/b/msrc/
Bulletins de sécurité Après la publication 19 novembre 2004 Bulletins de sécurité Après la publication Webcast d’information sur les bulletins publiés http://www.microsoft.com/france/technet/security/bulletin/webcasts.mspx Suivi des éventuels problèmes client par le support Évolution du contenu
Windows Server Update Services 3.0 Avantages à utiliser WSUS 3.0 L’agent est déjà installé sous Windows Configuration du client grâce aux stratégies de groupe (ou un .reg si pas de domaine) Nécessite peu de ressources pour être administré Fiable, documenté, scriptable Gratuit ! WSUS peut être associé aux outils d’inventaire existants (ex. MBSA) Version actuelle : WSUS 3.0 SP2 Guides de déploiement et d’administration : http://technet.microsoft.com/en-us/wsus/default.aspx Contenu (mises à jour) de WSUS : http://support.microsoft.com/kb/894199
Architecture WSUS Microsoft Update Serveur WSUS Administrateur Test Serveurs Pilote Stations de travail
Tous les outils Microsoft Update http://update.microsoft.com/microsoftupdate Moteur de recherche des bulletins http://www.microsoft.com/technet/security/bulletin Images ISO http://support.microsoft.com/kb/913086 WSUS http://www.microsoft.com/wsus Mises à jour WSUS pour l’année en cours http://support.microsoft.com/kb/894199
Il n’y a pas que du Microsoft sur votre PC Secunia 2010 Yearly Report http://secunia.com/company/yearly_report
Sommaire Gestion des mises à jour Contre les virus et logiciels malveillants Conformité Outils gratuits Ressources Web
Outils gratuits Windows Defender http://www.microsoft.com/windows/products/winfamily/defender/default.mspx Inclus dans Windows Vista, Windows 7 Protection permanente contre « logiciels non désirés » Malicious Software Removal Tool (MSRT) http://support.microsoft.com/kb/890830 Outil de suppression de logiciels malveillants Mis à jour et exécuté par Windows Update Windows Live OneCare safety scanner http://safety.live.com/ Analyse en ligne Microsoft Security Essentials http://www.microsoft.com/security_essentials Antivirus (antimalware) complet
Outil de suppression de logiciels malveillants (MSRT) http://support Suppression ponctuelle Principales menaces Pas de protection permanente
Windows Live OneCare safety scanner http://safety.live.com/
Microsoft Security Essentials http://www. microsoft Pour Windows XP, Windows Vista, Windows 7 Version 2.0 / 2011 : décembre 2010 Nouvelle plateforme de protection antimalware –détection, capacité de nettoyage, performances Inspection réseau (Vista et Windows 7) Performances améliorées Gratuit pour les particuliers et PME jusqu’à 10 PC
Microsoft Security Essentials
Microsoft Security Essentials Forefront Endpoint Protection 2010 MSRT Windows Defender Microsoft Security Essentials Forefront Endpoint Protection 2010 Suppression des principaux virus X Suppression exhaustive des virus connus Antivirus temps réel Suppression exhaustive des spywares connus Antispyware temps réel Fonctionnalités supplémentaires +activation du firewall lors de l’installation +inspection réseau +intégration à l’infrastructure IT +gestion centralisée
Sommaire Gestion des mises à jour Contre les virus et logiciels malveillants Conformité Outils gratuits Ressources Web
Outils pour la conformité Microsoft Baseline Security Analyser (MBSA) 2.2 http://technet.microsoft.com/fr-fr/security/cc184923 Microsoft Compliance Security Manager (SCM) http://technet.microsoft.com/en-us/library/cc677002.aspx http://social.technet.microsoft.com/wiki/contents/articles/microsoft-security-compliance-manager-scm.aspx
MBSA
Security Compliance Monitor (SCM) Manipulation de configurations de sécurité Documentation des recommandations Modèles (baselines) pour Windows XP, Vista, 7 ; IE8 Office 2007, 2010 Windows Server 2008, 2008 R2 Export vers DCM, SCAP, GPO, stratégie locale
Sommaire Gestion des mises à jour Contre les virus et logiciels malveillants Conformité Outils gratuits Ressources Web
Outils gratuits Sysinternals http://www.sysinternals.com/ http://live.sysinternals.com/ EMET http://support.microsoft.com/kb/2458544
live.sysinternals.com
Sysinternals Autoruns – autoruns.exe Analyse de tout ce qui est lancé au démarrage et à l’ouverture de session Process Explorer – procexp.exe Processus, threads, DLL, fichiers ouverts, connexions réseau… Kill, Restart, Suspend Process Monitor – procmon.exe Analyse dynamique Analyse du démarrage TcpView – tcpview.exe Connexions réseau
EMET – Enhanced Mitigation Experience Toolkit http://support.microsoft.com/kb/2458544 http://blogs.technet.com/b/srd Appliquer des mesures de sécurité aux applications Lutter contre les méthodes d’exploitation actuelles Pas besoin du source, pas besoin de recompiler Configurable Protéger les anciennes applications Facile à utiliser Outil amélioré en permanence
EMET : protections disponibles Structure Exception Handler Overwrite Protection (SEHOP) Introduit avec Vista SP1, paramétrable avec Windows 7 EMET apporte les fonctionnalités de Windows 7 sur Windows XP Dynamic Data Execution Prevention (DEP) EMET permet de l’appliquer par application Heapspray allocations Null page allocation Mandatory Address Space Layout Randomization (ASLR) Pour tous les modules chargés par une application Exemple avec une vulnérabilité récente d’IE Export Address Table Access Filtering (EAF)
EMET : OS supportés Windows XP SP3 Windows Vista SP1+ Windows 7 Windows Server 2003 SP1+ Windows Server 2008 SP* Windows Server 2008 R2
EMET : possibilités par OS
EMET
EMET
Sommaire Gestion des mises à jour Contre les virus et logiciels malveillants Conformité Outils gratuits Ressources Web
Ressources web Blog : SecuFD : blog sécurité grand public http://secufd.frogz.fr/ http://twitter.com/secufd Partenariats : Phishing Initiative http://www.phishing-initiative.com/ Signal Spam http://www.signal-spam.fr/
MSDN et TechNet : l’essentiel des ressources techniques à portée de clic Portail administration et infrastructure pour informaticiens Portail de ressources technique pour développeurs http://technet.com http://msdn.com