Nouveautés en matière de sécurité du Service Pack 2 de Windows XP

Sommaire Motivation Les 4 grands axes : Autres améliorations Protection réseau Navigation Internet Messagerie et messagerie instantanée Protection mémoire Autres améliorations Préinstallation OPK de Windows XP

Nombre de jours entre le correctif et l’exploitation 3/26/2017 3:56 PM Constats Octobre 2003 151 180 331 Blaster Welchia/ Nachi Nimda 25 SQL Slammer Nombre de jours entre le correctif et l’exploitation Prolifération des correctifs Temps avant exploitation en baisse Exploitations plus sophistiquée L’approche classique n’est pas suffisante 18 Sasser La sécurité est notre priorité n°1 Il n’y a pas de remède miracle Le changement nécessite des innovations © 2003-2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Réponses pour améliorer la sécurité Faire tendre vers 0 le nombre de vulnérabilités Améliorer la gestion des correctifs de sécurité Diminuer la vulnérabilité résultante, sans application de correctif Fournir des guides et formations Sensibiliser les utilisateurs

Windows XP Service Pack 2 Cumulatif des mises à jour post SP1 http://go.microsoft.com/fwlink/?linkId=20403 Pour autant, ce n’est pas un Service Pack classique Ingénierie proactive plutôt que réactive en renforçant la sécurité par des moyens préventifs permettant de bloquer des classes d’attaques Réduction de la surface d’attaque Renforcement des capacités de défense en profondeur Meilleure sécurité par défaut Meilleure gestion des correctifs de sécurité Diminution du fardeau des décisions de sécurité pour l’utilisateur Approche bouclier pour diminuer les attaques possibles et faire en sorte que 7 correctifs sur 10 déployables à votre rythme

Windows XP Service Pack 2 Focus sur 4 grands types d’attaque Réseau (pare-feu amélioré / configuration réseau RPC DCOM renforcée) Messagerie électronique et messagerie instantanée (pièces jointes) Navigation Internet (ActiveX, pop-up) Mémoire (protection de la mémoire améliorée contre les Buffer overflows) Autres améliorations liées à la maintenance de la sécurité

Pare-feu Windows RPC / DCOM Protection réseau Pare-feu Windows RPC / DCOM

Pare-feu activé en permanence Internet Activé par défaut sur toutes les interfaces (LAN, modem, VPN, Wi-Fi,…) Détecte automatiquement la connexion au réseau d’entreprise et utilise la configuration correspondante (profil du domaine vs profil standard) Protection lors du démarrage avec règle statique par défaut (sauf si désactivé) : seuls DNS, DHCP et Netlogon sont autorisés jusqu’à ce que le pare-feu ait démarré Réseau d’entreprise Restriction de certains services au réseau local ou à une certaine étendue (adresses sources)

Pare-feu Windows 3 modes opérationnels Activé (trafic entrant autorisé = exception) Activé sans exception (plus de trafic entrant non sollicité, conservation des réglages) Désactivé Configuration globale (réglage par interface possible) Liste d’exceptions Ouverture statique de ports Config d’options ICMP Simplification des réglages (ex : partage de fichiers) Journalisation des paquets rejetés et des connexions réussies Support de IPv6

Gestion du pare-feu Windows Interface utilisateur API Fichier d’installation unattended Stratégie de groupe Ligne de commande (Netsh)

Pare-feu Windows Stratégies de groupe Mise à jour de system.adm (en éditant une GPO depuis un poste XPSP2, les nouveaux paramètres SP2 seront ajoutés à la GPO éditée) GPO et cohabitation SP1 et SP2 Avant : Modèles d’administration\Réseau\Connexions réseau Interdire l’utilisation de pare-feu de connexion Internet sur le réseau de votre domaine DNS Maintenant (nouvelles GPO) : Configuration ordinateur\Modèles d’administration\Réseau\Connexions réseau\Pare-feu Windows\Profil standard (ou Profil du domaine) Protéger toutes les connexions réseau N’autoriser aucune exception Empêcher les notifications …

Pare-feu Windows Liste des exceptions Dans les versions précédentes, les applications devaient demander explicitement l’ouverture d’un port (API) Or, les ports ne sont pas toujours connus à l’avance Nouvelles fonctionnalité : toute application ajoutée à la liste ouvrira les ports nécessaires quel que soit le contexte de sécurité La manipulation de la liste demande les privilèges administrateurs Stratégies de groupe Définir les exceptions de port Autoriser les exceptions de ports locaux (permet aux administrateurs locaux d’ajouter des exceptions)

Pare-feu Windows Support broadcast et multicast Les trafics de broadcast et de multicast sont différents de l’unicast car la réponse provient d’un hôte inconnu La pare-feu autorise une réponse unicast pendant 3 secondes depuis n’importe quelle adresse source avec le même port que celui duquel le trafic a été émis Stratégie de groupe : empêcher les réponses monodiffusion pour des requêtes multidiffusion ou diffusion

Pare-feu Windows Profils multiples Chaque profil correspond à un paramétrage L’un pour le réseau d’entreprise (domaine), l’autre pour les autres réseaux (ex : hôtel, hotspot) Si aucun contrôleur de domaine sur le réseau : profil standard Sinon profil domaine Attention : nécessite un domaine (les machines en groupe de travail n’ont qu’un seul profil) Recommandation : configurer les 2 profils

Utilisateurs administrateurs locaux Si vos utilisateurs sont administrateurs locaux de leurs machines et si vous craignez qu’ils puissent installer le SP2 de leur propre chef, vous pouvez désactiver le pare-feu a priori en créant les clés de registre HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\FirewallPolicy\DomainProfile \EnableFirewall=0 (DWORD) HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\FirewallPolicy\StandardProfile \EnableFirewall=0 (DWORD)

Déploiement du pare-feu sans les stratégies de groupe Netfw.inf à l’installation http://www.microsoft.com/downloads/details.aspx?familyid=cb307a1d-2f97-4e63-a581-bf25685b4c43&displaylang=en Script netsh après l’installation netsh firewall set portopening UDP 1434 Slammer

Amélioration RPC / DCOM 3/26/2017 3:56 PM Amélioration RPC / DCOM Restriction RPC S’exécute avec des privilèges moindre Requière une authentification sur les interfaces par défaut (clé de registre RestrictRemoteClients) Possibilité de restreindre à la machine locale par programmation Désactivation de RPC via UDP par défaut Restriction DCOM Contrôle d’accès plus stricte et paramétrable via le registre (accès, lancement, activation) © 2003-2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Nouvelles permissions DCOM 3/26/2017 3:56 PM Nouvelles permissions DCOM Permission Administrator Everyone Anonymous Launch Local launch Local activate Remote launch Remote activate Access Local call Remote call These ACLs provide a centralized location where an administrator can set general authorization policy that applies to all COM servers on the computer. By default, Windows XP computer restriction settings are as listed in the slide. Many COM applications include some security-specific code (for example, calling CoInitializeSecurity), but use very weak settings, often allowing unauthenticated access to the process. There is currently no way for an administrator to override these settings to force stronger security in earlier versions of Windows. COM infrastructure includes the RpcSs memory management package, a system service that runs during system startup once added to the machine. It manages activation of COM objects and the running object table and provides helper services to DCOM remoting. It exposes RPC interfaces that are remotely callable. Because some COM servers allow unauthenticated remote access (as explained in the previous section), these interfaces can be called by anyone, including unauthenticated users. As a result, RpcSs can be attacked by malicious users using remote, unauthenticated computers. In earlier versions of Windows, there was no way for an administrator to understand the exposure level of the COM servers on a computer. An administrator could get an idea of the exposure level by systematically checking the configured security settings for all the registered COM applications on the computer, but, given that there are about 150 COM servers in a default installation of Windows XP, that task is daunting. There is no way to view the settings for a server that incorporates security in the software, short of reviewing the source code for that software. DCOM Computer-wide Restrictions mitigates these three problems. It also gives an administrator the capability to disable incoming DCOM activation, launch, and calls. © 2003-2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Navigation Internet plus sure

Les zones de sécurité d’IE 3/26/2017 3:56 PM Les zones de sécurité d’IE Zone Poste de travail Non montrée dans l’interface utilisateur Tout contenu HTML sur la machine locale Niveau de sécurité Faible pour supporter les applications HTML Sites de confiance Niveau de sécurité : Faible Intranet local Machines dans votre domaine Niveau de sécurité : moyennement bas Internet Noms FQDN Niveau de sécurité : Moyen Sites sensibles Utilisé par les applications pour manipuler des e-mail HTML avec un niveau de sécurité Haut © 2003-2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

3/26/2017 3:56 PM Navigation plus sure Verrouillage des zones Poste de travail et intranet Amélioration de la notification pour l’exécution et l’installation d’applications ou de contrôles ActiveX Éviter l’usurpation d’interface graphique Bloqueur d’éléments contextuels (pop-ups!) Bloque les pop-ups non sollicités Peut permettre des pop-ups pour certains domaines (ex: intranet) Les fenêtres ouvertes par un clic de l’utilisateur ne sont pas restreintes © 2003-2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Verrouillage de la zone Poste de travail Avant le SP2 : les fichiers de la machine locale et le contenu associé n’avaient pas de zone Désormais, tout le contenu local est dans le contexte de sécurité de la zone Poste de travail (afin d’éviter les tentatives d’élévation de privilèges)

Gérer les modules complémentaires Visualisation et contrôle des modules complémentaires chargés L’administrateur peut établir la liste des modules complémentaires autorisés et interdits Attention : ces modules peuvent toujours être appelés par d’autres composants, d’où l’importance de gérer l’inclusion de modules complémentaires

Comportements binaires; cache Composants qui encapsulent certaines fonctionnalités pour des éléments HTML Préalablement non contrôlés, peuvent maintenant être restreints par zone En particulier, Sites sensibles Mise en cache des objets Auparavant : des objets pouvaient être mis en cache pour donner accès à des contenus d’une autre page Web (le navigateur affiche du contenu et des objets de 2 sites) Problème : l’objet en cache (script) pouvait écouter des événements dans un autre frame (carte de crédit) Erreurs « Accès refusé ». L’objet doit être remis en cache avant de pouvoir être accédé par script

Types MIME Le type MIME (Multipurpose Internet Mail Extensions) détermine la façon dont un contenu est manipulé Ex : une image est affichée alors qu’un exécutable provoquera une boîte de dialogue de téléchargement Nouvelles règles pour éviter l’usurpation de type MIME Le MIME « sniff » déterminera si un fichier est un exécutable déguisé (signature de bits). Tous les fichiers ainsi détectés auront leur extension modifiée et seront enregistrés dans le cache Important : correspondance sur le sites des entêtes et des extensions

Éditeurs de confiance Une seule boîte de dialogue par ActiveX et par page (pour que l’utilisateur n’accepte pas par résignation suite à de multiples demandes) Auparavant : option de toujours faire confiance à un éditeur Maintenant : option inverse aussi disponible La description de l’application et du nom de l’éditeur sont affichés pour éviter les confusions (faux CLUF)

Restrictions sur les fenêtres Interdiction de créer une fenêtre pop-up sans la barre d’adresse, la barre de titre et la barre d’outils Interdiction de déplacement d’une fenêtre par script en dehors de la zone visible par l’utilisateur

Blocage de l’élévation de zone Empêche la modification des paramètres de sécurité depuis un contenu qui s’exécute dans une zone inférieure Les pages Web qui appelles d’autres pages plus privilégiées échouent (une page dans la zone Internet ne peut pas naviguer vers une page de la zone Poste de travail) En navigant d’une zone peu privilégiée vers… ..IE aura le comportement suivant Poste de travail Blocage Sites de confiance Demande Intranet local Internet Autorisation Sites sensibles

Nouvelles stratégies de groupe (GPO) Configuration utilisateur\Modèles d’administration\Composants Windows\Internet Explorer Gestion des modules complémentaires : Mode … Configuration utilisateur\Modèles d’administration\Composants Windows\Internet Explorer\Panneau de configuration de Internet\Onglet Sécurité Configuration utilisateur\Modèles d’administration\Composants Windows\Internet Explorer\Panneau\Fonctionnalités de sécurité Internet Explorer, Tous les processus ou Liste des processus

Messagerie et messagerie instantanée plus sures

Pièces jointes Gestion des pièces jointes Pour gérer en un point unique la notion de confiance en un type de pièce jointe Pour permettre aux applications d’avoir un moyen cohérent de déterminer les pièces jointes dangereuses Création d’une API publique de gestion des pièces jointes (Attachment Execution Services) au niveau du système pour une gestion cohérente pour toutes les applications Par défaut : tout est considéré comme dangereux Outlook Express, Windows Messenger, Internet Explorer utilisent la nouvelle API Ouverture et exécution avec le minimum de privilèges

Outlook Express Aperçu de message plus sûr Améliorations dans OE comparables à celles d’Outlook 2003 E-mail HTML en zone Sites sensibles Non téléchargement du contenu HTML externe Protection du carnet d’adresses Protection contre le contenu exécutable

Réduction de l’exposition à certains buffer overflows Protection mémoire Réduction de l’exposition à certains buffer overflows

Compilation avec /GS (Visual Studio 2003) 3/26/2017 3:56 PM Compilation avec /GS (Visual Studio 2003) Sens croissant des adresses Buffers Autres vars EBP EIP Args Une pile nomale Buffers Autres vars EBP EIP Args cookie Pile VC++ 2002 (avec /GS) Buffers Autres vars EBP EIP Args cookie Pile VC++ 2003 (avec /GS et les safe exceptions) © 2003-2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Prévention de l’exécution des données Prise en charge de la protection matérielle contre l’exécution (NX : No Execute) des processeurs récents (Itanium / AMD64) Seules les régions de mémoire marquées explicitement pour l’exécution peuvent s’exécuter (mode noyau et mode utilisateur) Activé par défaut pour les binaires Windows Attention : applications de type compilateur juste à temps

Autres améliorations

Autres améliorations Mises à jour automatique Windows Update v5 Écran modal lors de l’installation sauf si “AutomaticUpdates=1” in the “[Data]” section of the UNATTEND.TXT GPO Déjà réglé pour installation planifiée Client pour Windows Update Services (SUS2) Gestion de la reprise du téléchargement d’un correctif interrompu ou incomplet Note : son réglage n’est pas modifié par Sysprep Windows Update v5 MSI 3.0

Autres améliorations Réduction de la surface d’attaque : désactivation du service Windows Messenger (pop-up Windows) et Alerter Autres Windows Media Player 9 DirectX 9.0b Bluetooth 2.0 Nouveau client WLAN universel

Centre de sécurité Outil de suivi des 3 étapes de protection des PC Pare-feu Mise à jour automatique Antivirus à jour

Conclusion Une étape dans le voyage vers des plateformes, applications et périphériques sécurisés Permettra une meilleure protection Vous donnant du temps pour la gestion des correctifs de sécurité Limitant l’impact des vers et des virus Augmentant la difficulté pour les attaquants Large diminution de classes de vulnérabilités (vs correction ponctuelle) Attaques réseau Attaques d’ingénierie sociale Buffer overflows Contrôle administratif des changements Stratégie de groupe, scripts en ligne de commande, registre

Informations disponibles Infos sur le SP2 : http://www.microsoft.com/france/windows/xp/sp2/ Infos techniques sur le SP2 : http://www.microsoft.com/france/technet/produits/windowsxp/sp2/ Déploiement du SP2 : http://www.microsoft.com/technet/prodtechnol/winxppro/deploy/xpsp2dep.mspx Site OEM : http://oem.microsoft.com/

OEM Preinstallation Kit Préinstallation de Windows avec les technologies WinPE & OPK Benjamin NATHAN Partners & System Builders Technology Specialist bnathan@microsoft.com

Avantages du Kit de Pré-installation OEM (OPK) Méthodologie souple Permet de choisir entre différentes méthodes de préinstallation : CD Rom, Disque dur, Disque de démarrage MS DOS. Personnalisation Permet d’ajouter au système d’exploitation des raccourcis et des informations de personnalisation Souplesse avec le matériel Permet de préinstaller des pilotes pour les périphériques dont le support n’est pas initialement intégré dans le système d’exploitation Préinstallation d’applications Permet d’installer des programmes logiciels pendant l’installation de Windows 2000 Server Fonctionnalités d’Audit Permet de tester des ordinateurs préinstallés sans interrompre la procédure de préinstallation

Terminologie Jeu de configuration Rassemble les paramètres de configuration de la pré-installation Image Copie exacte du fichier original et de la structure du répertoire Ordinateur de destination Ordinateur sur lequel l’installation de Windows XP va être copiée soit par Duplication de disque, soit par Syspart, soit par transfert réseaux Pré-installation Procédure de chargement de Windows XP sur les nouveaux ordinateurs Ordinateur de référence Ressource contenant l’arborescence qui spécifie tout le logiciel qui doit être distribué sur les ordinateurs de destination. Ordinateur Principal Ordinateur qui reçoit l’installation principale de Windows XP Server qui est ensuite dupliquée sur les serveurs de destination.

Procédure de pré-installation 3/26/2017 3:56 PM Procédure de pré-installation Installez les outils de l’OPK Activez les applications Créez un jeu de configuration Copiez le fichier Winbom.ini sur une disquette, un CD personnalisé ou une mémoire USB Ordinateur du technicien Démarrez l’ordinateur à l’aide du CD OPK Windows XP Insérez la disquette Winbom.ini lors du démarrage Ordinateur maître Rescellez l’ordinateur ou exécutez d’abord le mode Audit ou Usine à modifier, puis rescellez ensuite Créez une image de l’installation et stockez-la sur l’ordinateur du technicien Ordinateurs de destination Déployez l’image à partir de l’ordinateur du technicien vers le ou les ordinateur(s) de destination © 2003-2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Installation des outils de l’OPK 3/26/2017 3:56 PM Installation des outils de l’OPK Here we will autorun the WinPE CD and install the OPKTools. NOTE: This graphic no longer shows XP so that is how it’s distinguishable from the initial version of the OPK installer from XP RTM. © 2003-2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Exécution du Setup Manager OEM Ajout des différents OS à déployer Même outil pour déployer Windows XP, Windows Server 2003 dans tous les langages et toutes les versions (SKUs) Possibilités de personnalisation logos, références machines, options des OS applications installées… Setup Manager

Préinstallation OEM en utilisant le Setup Manager “Corporate” Est-ce que les System Builders sont obligés d’utiliser les outils de préinstallation réseaux ? Non Les System Builders peuvent aussi créer et utiliser de méthodes de pré-installation basées sur un CD en utilisant un fichier de réponses WINNT.SIF Les outils du setup manager “Corporate” se trouve dans le fichier DEPLOY.CAB situé sur le CD d’installation Windows XP.

System Preparation Tool (Sysprep.exe) 3/26/2017 3:56 PM System Preparation Tool (Sysprep.exe) Factory Mode exécute Winbom.ini, Installe les drivers et applications et rajoute les données clients Audit Mode fourni une méthode simple pour vérifier les personnalisations, rajouter des drivers et des applications manuellement et rebooter la machine Reseal Mode retire la clé produit utilisée pendant l’installation, reset l’EULA et prépare la machine pour la livraison Sysprep Modes detailed above…more info can be found in OPK.CHM help file. © 2003-2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Interim WinPE Support de WMI Possibilité de créer des images iWinPE qui contiennent les classes WMI Supporte plus de 40 provider WMI et 1500 classes Permet d’accéder directement au hardware de la machine au travers de iWinPE Exemples de scripts de test Hardware Utilisation de WMI pour tester la configuration de la machine Possibilité d’utiliser certaines APIs Windows et d’utiliser des scripts

Interim WinPE Support des périphérique Plug and Play Possibilité de créer des images WinPE capables de détecter dynamiquement les périphériques & l’ajout des drivers associés Accès aux Périphériques Windows 32 bit et 64 bit Possibilité de charger WinPE en RAM Utilisation d’un RAM Drive pour pouvoir changer de CD pour par exemple exécuter des tests Support du protocole PXE

Comment intégrer le Service Pack 2 dans une image d’installation de Windows XP existante ? Ajout dans les images partagées dans le répertoire OPKTools – Etape par Etape Télécharge la mise à jour complète “Standalon” du Service Pack : XPSP2.EXE Créer un répertoire sur C:\ appelé XPPro pour Windows XP Professional et XPHome pour XP Home Copier le contenu du CD de Windows XP Pro et Home dans ces répertoires Ouvrir une ligne de commande et taper XPSP2.EXE /integrate:C:\XPPro Lorsque l’installation du Service Pack 2 est terminée, vous verrez un message du type : “Integrated install has completed successfully.” Maintenant, aller dans le menu Outils – Gestion des Produits dans le Setup Manager (Tools – Manage Products) Cliquer sur Ajouter un nouveau produit et naviguer vers les répertoires C:\XPPro et C:\XPHome

Installation des patchs Utilisation du Catalogue Windows Update http://windowsupdate.microsoft.com/catalog Attention aux droits de redistribution Récupération des patchs depuis le site OEM Uniquement les patchs critiques http://oem.microsoft.com/ Utilisation d’un serveur SUS ou WUS Récupération des patchs et déploiement sur les machines Attention à la configuration de la machine ensuite Utilisation d’un script pour rétablir la configuration

RIS & Préinstallation Possibilité de rajouter WinPE dans les déploiements RIS Remote Installation Services : Windows Server 2003 Utilisation du fichier Winbom.ini Jeux de configuration Personnalisation du déploiement Ajout d’applications Déploiement via un réseau : boot PXE

Site Microsoft OEM oem.microsoft.com enregistrement sur : www.microsoft.com/oem/francais Vous voulez tout savoir sur les produits OEM : Informations techniques Guide étape par étape pour la pré-installation OEM de Windows XP Newsgroup Microsoft OEM Informations commerciales Vous souhaitez promouvoir vos PC avec les produits Microsoft : Toolsore Outils d’aide à la vente - Gratuits

© 2004 Microsoft Corporation. All rights reserved. 3/26/2017 3:56 PM © 2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary. © 2003-2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.