Windows XP SP2 et Windows Server 2003 SP1 3/26/2017 3:56 PM Windows XP SP2 et Windows Server 2003 SP1 Pascal Sauliere Consultant Principal Sécurité, CISSP Microsoft France © 2003-2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

La stratégie sécurité de Microsoft 3/26/2017 3:56 PM Authentification, Autorisation, Audit Mise à jour avancée Excellence de l’engineering Conseils, Outils, Réponse Isolation et résilience © 2003-2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Sommaire Windows XP SP2 Windows Server 2003 SP1 Compatibilité des applications Déploiement et administration

Windows XP SP2 Réduction des modes d’attaque 3/26/2017 3:56 PM Pare-feu amélioré Configuration réseau RPC DCOM renforcée Pièces jointes ActiveX, pop-up Protection contre les Buffer Overflow Protection réseau Mail et IM plus sûrs Navigation Web plus sûre Mémoire Communiquer et collaborer de manière plus sécurisée sans sacrifier la productivité des collaborateurs © 2003-2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Réseau : pare-feu, DCOM, RPC… Objectifs Fournir par défaut une meilleure protection contre les attaques réseau Systèmes nomades, PME, utilisateurs à la maison Ce que nous faisons Services Alerter et Messenger désactivés par défaut Pare-feu Windows en service par défaut Plus d’options de configuration – stratégies de groupe, ligne de commande (netsh), interface graphique Protection lors du démarrage Support de plusieurs profils – domaine et standard Restriction des connexions anonymes pour DCOM/RPC Impacts sur les applications Les connexions réseau entrantes ne sont plus permises par défaut Les ports qui écoutent ne sont ouverts que pendant que l’application s’exécute

Pièces jointes : OE, IE, IM… Objectifs Mécanisme système cohérent permettant de déterminer les attachements dangereux Expérience cohérente lors de la décision de faire confiance à un attachement Ce que nous faisons Créer une nouvelle API publique pour gérer les attachements sans danger (Attachment Execution Service) Par défaut, on ne fait pas confiance aux attachements dangereux Outlook Express, Windows Messenger, IE modifiés pour utiliser la nouvelle API Ouvrir / exécuter les attachements avec le moins de privilège possible Prévisualisation sans danger des messages Remplace AssocIsSafe() Impact sur les applications Utiliser les nouvelles API dans vos applications pour une meilleure expérience utilisateur et une meilleure détermination du danger d’un contenu Les applications concernées par les attachements email peuvent être impactées

Navigation Web Objectifs Ce que nous faisons Assurer une expérience de navigation Web sécurisée Ce que nous faisons Verrouiller les zones local machine et local intranet Améliorer les notifications lors de l’exécution ou de l’installation de contrôles et d’applications ActiveX Désarmer les attaques en cross domain script sur les API Limitation de l’usurpation d’interface utilisateur Suppression des fenêtres de pop-up sauf si elles sont lancées par une action utilisateur Impact sur les applications Contrôler la compatibilité des applications Web avec le nouveau paramétrage par défaut plus sécurisé Les applications business qui utilisent les pop-ups peuvent nécessiter un changement ou être ajoutées à la liste des exceptions

Protection contre l’exécution des données Objectifs Réduire l’exposition à certains buffer overruns Ce que nous faisons Tirer parti du support hardware des processeurs 64 bits et des derniers processeurs 32 bits pour ne permettre l’exécution de code en mémoire que dans des régions spécifiquement marquées comme execute Réduit l’exploitabilité des buffer overruns Mis en service par défaut sur toutes les machines capables de le faire pour les binaires Windows Impact sur les applications Assurez-vous que votre application n’exécute par de code dans un segment data Assurez-vous que votre code s’exécute en mode PAE avec moins de 4 GO de RAM Utiliser VirtualAlloc avec PAGE_EXECUTE pour allouer de la mémoire utilisée pour y charger un exécutable Tester votre code sur des processeurs 64 bit et 32 bits avec execution protection

Autres améliorations Nouveau « Centre de sécurité » Amélioration du service de mise à jour automatique des postes Intégration du nouveau client Windows Update Services Nouveau client réseau sans fil universel Améliorations du client Bluetooth Mise à jour de Windows Media Player 9

Sommaire Windows XP SP2 Windows Server 2003 SP1 Compatibilité des applications Déploiement et administration

Objectifs de Windows Server 2003 SP1 Sécurité améliorée Réduction de la surface d’attaque Nouvelles amélioration de la sécurité Configuration par défaut plus sûre et réduction des privilèges des services : RPC, DCOM Support du matériel « No Execute » : Intel, AMD Pare-feu Windows activé par défaut : nouveau scénario d’installation Assistant Configuration de la Sécurité (SCW) : configuration et « verrouillage » par rôle Audit de la metabase IIS 6.0 Fiabilité améliorée Performances améliorées Amélioration 10%+ pour TPC, TPC-H, SAP, SSL, etc.

Fonctionnalités reprises de Windows XP SP2 Pare-feu Windows Configuration : Stratégies de groupes, ligne de commande, installation silencieuse Protection au démarrage Configuration selon le rôle du serveur Protection de RPC/DCOM Objets RPC exécutés avec des privilèges réduits Nouvelles clés de registre RPC Permet aux applications serveurs de restreindre l’accès aux interfaces Restrictions d’accès DCOM complémentaires Modèle d’authentification renforcé Réduction globale du risque lié aux attaques Les ports RPC et DCOM sont gérés comme un cas particulier par le pare-feu Windows

Mises à jour de sécurité post-installation pour Windows Server (PSSU – Post-Setup Security Updates) Objectif : protéger le premier démarrage et appliquer les derniers correctifs de sécurité Exécuté au premier logon administrateur si le pare-feu Windows n’est pas activé explicitement par le script d’installation ou les stratégies de groupe Bloque les connexions entrantes jusqu’à ce que l’administrateur clique sur « Terminer »

Mises à jour de sécurité post-installation pour Windows Server

Mises à jour de sécurité post-installation pour Windows Server Lien vers Windows Update Possibilité de configurer les mises à jour automatiques (Auto Update) Ré-exécuté si non terminé au premier redémarrage En cas de fermeture forcée (Alt+F4), aucun changement n’est appliqué au pare-feu, PSSU sera ré-exécuté au prochain logon administrateur

Assistant Configuration de la Sécurité Réduction de la surface d’attaque pour les serveurs Windows Métaphore des rôles Désactive les services non nécessaires Désactive les Extensions Web IIS non nécessaires Bloque les ports non utilisés, y compris sur les systèmes à plusieurs cartes réseau Aide la sécurisation des ports laissés ouverts par IPsec Réduit l’exposition des protocoles (signature LDAP & SMB, Compatibilité Lan Man et LMHash…) Configure l’audit (SACLs) Possibilité d’import de modèles SCE Sécurité simplifiée Les rôles simplifient les décisions Processus automatisé par rapport à de la documentation détaillée Entièrement testé et supporté par Microsoft

Opérations liées à SCW Retour en arrière en cas d’interruption de service imprévue Analyse, pour vérifier la conformité des machines par rapport aux stratégies Configuration et analyse à distance Ligne de commande pour configuration et analyse à distance et en masse Intégration à Active Directory pour un déploiement par stratégies de groupe Possibilité d’éditer les stratégies créées, lorsque les machines sont réaffectées Vues XSL de la Base de Connaissances, des stratégies et des résultats d’analyse

Windows Server 2003 SP1 Quelques autres nouveautés Access-based Enumeration – ne montrer aux utilisateurs que les fichiers et répertoires auxquels ils ont accès. Outil de configuration : http://go.microsoft.com/?linkid=2726554 RRAS : support des outils de quarantaine (rqc/rqs) Terminal Services : utilisation de SSL/TLS 1.0 pour l’authentification du serveur et le chiffrement (client RDP 5.2 sur Windows 2000, XP, 2003) What’s New in TS : http://go.microsoft.com/?linkid=2700421

Références Changes to Functionality in Microsoft Windows Server 2003 Service Pack 1 http://www.microsoft.com/downloads/details.aspx?FamilyID=c3c26254-8ce3-46e2-b1b6-3659b92b2cde&DisplayLang=en (anglais) Changes to Functionality in Microsoft Windows XP Service Pack 2 http://www.microsoft.com/technet/prodtechnol/winxppro/maintain/sp2chngs.mspx (anglais, français)

Sommaire Windows XP SP2 Windows Server 2003 SP1 Compatibilité des applications Déploiement et administration

Compatibilité des applications Domaine fonctionnel Statut compatibilité NX & /GS Expérience utilisateur modifiée Gestion des pièces jointes Pare-feu Windows Applications, services Configuration requise (peu d’applications) DCOM & RPC Launch and activation permissions, remote anonymous access, remote non-admin activation & launch, RPC requires authenticated access Autres composants Internet Explorer Pop-up blocker, auto download blocking, windows restrictions, MIME handling, binary behaviors, object caching, zone elevation, LMZ lockdown, mk:// protocol Configuration requise (quelques applications)

Application Compatibility Toolkit (ACT) ACT 4.0 (mars 2005) Spécifiquement conçu pour le SP2 Pour les professionnels Disponible : http://www.microsoft.com/technet/prodtechnol/windows/appcompatibility/default.mspx Application Compatibility Testing and Mitigation Guide for Windows XP Service Pack 2 (SP2) http://www.microsoft.com/technet/prodtechnol/winxppro/deploy/appcom/default.mspx

Sommaire Windows XP SP2 Windows Server 2003 SP1 Compatibilité des applications Déploiement et administration

Projet de déploiement Points clés Le déploiement de XP SP2 est un événement majeur Traitez-le comme un mini déploiement d’OS Testez, testez, testez ! Les utilisateurs seront impactés Formation et communication Profitez de SMS 2003 pour minimiser l’impact du déploiement Profitez d’Active Directory pour l’administration

Points clés du projet Gestion de projet Compatibilité des applications Revue et mise à jour de la politique de sécurité Éducation et formation des utilisateurs Déploiement en phases

Méthodes de déploiement Mise à jour – systèmes existants Installation intégrée (slipstream) – nouveaux systèmes

Outils et fichiers (XP SP2) http://go.microsoft.com/fwlink/?linkID=23354 WindowsXP-KB835935-SP2-ENU.exe WindowsXP-KB835935-SP2-FRA.exe XPSP2.EXE sur le CD Update.exe (dans update\) Windows Installer et Update.msi (dans update\) Unattend.txt pour les installations intégrées

Outils et fichiers Extraction : XPSP2.EXE /u /x:<chemin> update\update.exe /?

Déploiement mise à jour SMS 2.0 SMS 2003 Autres systèmes de télédistribution Exemple : update.exe /quiet /forcerestart Stratégie de Groupe, update.msi SUS [WSUS]

Installation intégrée Créer un répertoire de distribution md d:\xpsp2\pro Copier Windows XP GOLD dans le répertoire xcopy [CD]:\ d:\xpsp2\pro /e Extraire les fichiers du SP2 WindowsXP-KB835935-SP2-FRA.exe /u /x:d:\temp Intégrer le SP2 dans le répertoire de distribution d:\temp\i386\update\update.exe /integrate:d:\xpsp2\pro Personnaliser l’installation de Windows XP

Nouveaux modèles d’administration system.adm (Windows 2000, XP, 2003) inetres.adm (Internet Explorer) conf.adm (NetMeeting 3.01) wmplayer.adm (Windows Media Player) wuau.adm (Automatic Updates)

Modèles d’administration

Nouveautés Créer le GPO avec Active Directory Users and Computers ou GPMC Éditer le GPO depuis un poste Windows XP SP2 Pour mettre à jour les .adm sur les DC Correctif 842933 pour l’erreur « The following entry in the [strings] section is too long and has been truncated  » sur Windows Server 2003, 2000, XP SP1… http://support.microsoft.com/kb/842933

Nouveautés Configuration du client AutoUpdate Configuration du Centre de Sécurité Configuration du Pare-feu Windows Configuration d’Internet Explorer Configuration des réseaux sans fil avec WPA, WPA-PSK, TKIP

Références 816662 - Recommendations for managing Group Policy administrative template (.adm) files http://support.microsoft.com/kb/816662 842933 - The following entry in the [strings] section is too long and has been truncated error message when you try to modify or to view GPOs in Windows Server 2003, Windows XP, or Windows 2000 http://support.microsoft.com/kb/842933 Group Policy Settings Reference for Windows XP Professional Service Pack 2 http://go.microsoft.com/fwlink/?LinkId=22031

Microsoft France 18, avenue du Québec 91 957 Courtaboeuf Cedex 3/26/2017 3:56 PM Microsoft France 18, avenue du Québec 91 957 Courtaboeuf Cedex www.microsoft.com/france 0 825 827 829 msfrance@microsoft.com © 2003-2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.