Sécurité et Windows Server 2003 SP1 et R2 Stephane Saunier Fabrice Meillon Microsoft France

Objectifs Proposer une vue densemble des nouveautés liées à la sécurité introduites dans Windows Server 2003 SP1 Cette session ne traite pas de lensemble des nouveautés liées au SP1

Versionmajeure Versionmajeure Versionmineure ~ 4 ans ~ 2 ans Phase principal de support Support Etendu Au minimum 5 ans Min. 5 ans à partir de la version majeure Cycle de disponibilité des versions Windows Server Versionmajeure Versionmineure

Windows Server 2003 R2 Quest-ce que cest ? R2 est la dernière version de Windows Server 2003 Une nouvelle version particulière (1 er version mineure) : Base = WS2003 SP1 Même compatibilité des applications, même qualité, même stabilité et performance Composants nouveaux installés optionnellement Gestion du stockage Gestion de lidentité et des accès Gestion des réseaux dagences Les Services Packs à venir seront applicables sur Windows Serveur 2003 GOLD et R2.

En savoir plus sur Windows 2003 R2 Gestion des identités Christophe Dubos & Philippe Béraud, Microsoft France Fédération des identités numériques (ADFS - partie 1 et partie 2) Philippe Béraud, Microsoft France

Service Pack 1 pour Windows 2003 Challenges clés pour nos clients Sécurité Pouvoir sécuriser de façon simple leurs serveurs Etre de mesure de lutter contre les attaques réseau dès linstallation Etre en mesure de faire face aux prochaines attaques Etre en mesure de faire face aux prochaines attaques Robustesse Minimiser les interruptions réseau Performance Sécuriser sans impacter les performances

Pour Microsoft, au travers du SP1 Poursuivre leffort lInformatique de confiance Sécurité améliorée Réduction de la surface dattaque Nouvelles améliorations de la sécurité Configuration par défaut plus sûre et réduction des privilèges des services : RPC, DCOM Support du matériel « No Execute » : Intel, AMD Pare-feu Windows : nouveau scénario dinstallation Assistant Configuration de la Sécurité (SCW) : configuration et « verrouillage » par rôle Audit de la metabase IIS 6.0 Fiabilité améliorée Performances améliorées Amélioration 10%+ pour TPC, TPC-H, SAP, SSL, etc…

Mise à jour de sécurité post installation pour Windows Server (PSSU – Post-Setup Security Updates) Conçue pour sécuriser les serveurs après leur installation (premier démarrage) et avant lapplication des derniers correctifs de sécurité Lancement au premier administrateur ouvrant une session si le pare feu Windows na pas été explicitement activé dans le script dinstallation sans assistance ou les stratégies de groupe Bloques les connexions entrantes jusquau clique sur Terminer

Mises à jour de sécurité post- installation pour Windows Server Lien vers Windows Update Possibilité de configurer les mises à jour automatiques (Auto Update) Ré-exécuté si non terminé au premier redémarrage En cas de fermeture forcée (Alt+F4), aucun changement nest appliqué au pare-feu, PSSU sera ré-exécuté au prochain logon administrateur

Mise à jour de sécurité post-installation

Assistant Configuration de la sécurité (SCW) La sécurité doit être appliquée mais construire son propre modèle nest pas si simple pour beaucoup Objectif de lassistant : Aider les administrateurs dans la réduction de la surface dattaque des serveurs Windows en tenant compte des rôles du serveur Composant optionnel de Windows Server 2003 Simple et fonctionnel Simple dutilisation, basé sur des questions/réponses Automatique en regard des guides papiers Entièrement testé et supporté par Microsoft

Assistant Configuration de la Sécurité Réduction de la surface dattaque pour les serveurs Windows Basé sur des modèles des rôles Désactive les services non nécessaires Désactive les Extensions Web IIS non nécessaires Bloque les ports non utilisés, y compris sur les systèmes à plusieurs cartes réseau Aide la sécurisation des ports laissés ouverts par IPsec Réduit lexposition des protocoles (signature LDAP & SMB, Compatibilité Lan Man et LMHash…) Configure laudit (SACLs) Possibilité dimporter des modèles SCE (inf) Fichiers xml

Assistant Configuration de la sécurité

Opérations liées à SCW Retour en arrière Analyse, pour vérifier la conformité des machines par rapport aux stratégies Configuration et analyse à distance Interface graphique Ligne de commande pour configuration et analyse à distance et en masse (scwcmd.exe) Intégration à Active Directory pour un déploiement par stratégies de groupe Possibilité déditer les stratégies créées, lorsque les machines sont réaffectées Vues XSL de la Base de Connaissances, des stratégies et des résultats danalyse

Néanmoins limité ex: SCW et IPsec Sécurité au niveau port Créer des restrictions de sécurité sur le trafic réseau TCP ou UDP entrant pour chaque port, en fonction de l'adresse IP d'où provient le trafic. IPSec nécessite une configuration par machine SCW permet une configuration avec la règle par défaut pour les clients (Accepter le trafic entrant non signé et non crypté) SCW ne crée pas de stratégies IPSec évoluées Communications DC-vers-DC Segmentation réseau Quarantaine

Configuration et Analyse de la Sécurité (SCE)

SCE vs SCW Choisir le bon outil Appliquer une configuration générique Utiliser les guides et loutil Configuration et Analyse de la Sécurité (SCE) Créer une configuration Utiliser lun ou lautre SCW est plus flexible et couvre plus doptions Comprendre les paramètres Utiliser les guides et la documentation de SCW Possibilité dinclure des modèles SCE dans une stratégie SCW Paramètres daudit personnalisés Personnalisation des permissions DACLs and SACLs Paramètres non couverts par SCW

SCE vs SCW Les + de SCW Couvre plus de domaine Moins de risque de détruire le système Les stratégies seront mieux optimisées Directement utilisable à distance Moins de connaissance requise Possibilités dextension Meilleur support du retour arrière Les + de SCE Plus flexible Plus facile de personnaliser les paramètres individuels Directement utilisable par les stratégies de groupe

Réseau : pare-feu, DCOM, RPC… Pare-feu Windows Configuration : Stratégies de groupes, ligne de commande, installation silencieuse Protection au démarrage Configuration selon le rôle du serveur Protection de RPC/DCOM Objets RPC exécutés avec des privilèges réduits Nouvelles clés de registre RPC Permet aux applications serveurs de restreindre laccès aux interfaces Restrictions daccès DCOM complémentaires Modèle dauthentification renforcé Réduction globale du risque lié aux attaques Les ports RPC et DCOM sont gérés comme un cas particulier par le pare-feu Windows

Pièces jointes : OE, IE, IM… Nouvelle API publique pour gérer les attachements sans danger (Attachment Execution Service) Par défaut, on ne fait pas confiance aux attachements dangereux Outlook Express, Windows Messenger, IE modifiés pour utiliser la nouvelle API Ouvrir / exécuter les attachements avec le moins de privilège possible Prévisualisation sans danger des messages

Navigation Web Verrouiller les zones local machine et local intranet Améliorer les notifications lors de lexécution ou de linstallation de contrôles et dapplications ActiveX Désarmer les attaques en cross domain script sur les API Limitation de lusurpation dinterface utilisateur Suppression des fenêtres de pop-up sauf si elles sont lancées par une action utilisateur

Réduction de la surface dattaque

Réduire lexposition à certains dépassement de mémoire tampon Certains services ou applications gèrent de façon non correcte les messages malformés. Un attaquant peut envoyer un message avec des données dont la taille est supérieure à celle attendue Les données supplémentaires sont du code dangereux Le code dangereux est alors écrit dans une zone de la mémoire ou il est exécuté. En savoir plus…

Protection contre les Buffer Overflow Compilation avec /GS Sens croissant des adresses BuffersAutres vars EBP EIP Args Une pile normale BuffersAutres vars EBP EIP Args cookie Pile VC (avec /GS) BuffersAutres vars EBP EIP Args cookie Pile VC (avec /GS)

Ecrire du code sécurisé : un regard sur les bonnes pratiques d'implémentation Eric Mittelette & Eric Vernié, Microsoft France Eric Mittelette & Eric Vernié, Microsoft France Visual Studio 2005 et sécurité Eric Vernie & Eric Mittelette, Microsoft France En savoir plus

Ne permettre lexécution de code en mémoire que dans des régions spécifiquement marquées comme execute Prévention exécution de données matériel Nécessite le support du processeur contre lexécution (NX : No Execute ou XD : Execute Disable) (AMD64 / Itanium /Intel EMT) Prévention exécution de données logiciel Applicable pour nimporte quel processus sexécutant sur lOS Activé par défaut pour les binaires Windows. Configuration Boot.ini switch /noexecute=PolicyLevel OptIn / OptOut / AlwaysOn / AlwaysOff Configuration graphique possible au travers des options de performances Prévention de lexécution des données

Impact sur les applications Pas de code dynamique Assurez-vous que votre application nexécute par de code dans un segment de données Assurez-vous que vos applications et drivers supporte le mode PAE Utiliser les instructions valides pour que votre code fonctionne Tester votre code sur des processeurs 64 bit et 32 bits en mode PAE avec protection de lexécution

Windows Server 2003 SP1 Quelques autres nouveautés Access-based Enumeration – ne montrer aux utilisateurs que les fichiers et répertoires auxquels ils ont accès. Outil de configuration : Access-based Enumeration – ne montrer aux utilisateurs que les fichiers et répertoires auxquels ils ont accès. Outil de configuration : Audit de la metabase IIS RRAS : support des outils de quarantaine (rqc/rqs) Terminal Services : utilisation de SSL/TLS 1.0 pour lauthentification du serveur et le chiffrement (client RDP 5.2 sur Windows 2000, XP, 2003) Whats New in TS : Terminal Services : utilisation de SSL/TLS 1.0 pour lauthentification du serveur et le chiffrement (client RDP 5.2 sur Windows 2000, XP, 2003) Whats New in TS :

Access Based Enumeration

Terminal Services Authentification du serveur et chiffrement

Mais le SP1 cest aussi : Mise à jour dADPREP (Sysvol) Installation depuis un media (DNS) Evolution DCdiag (tests DNS) Ntdsutil (suppression des DCs) FSMO : status et ID Events Restreindre laccès sur certains attributs Rappel pour les sauvegardes des partitions dAD Support pour la virtualisation des DCs Drag and Drop dans la mmc Utilisateurs et ordinateurs Active Directory packs/sp1/default.mspx

Déployer le SP1 Tester, tester, tester !! Valider le bon fonctionnement de vos applications sur le serveur après mise à niveau vers le SP1 Méthode de déploiement Mise à jour – systèmes existants Installation intégrée (slipstream) – nouveaux systèmes Windows Server 2003 SP1 Blocker Tool Kit news/bulletins/ws03sp1blockertool.mspx Effectif jusquau 30 mars 2006

Quelques retours dexpérience… Vous ne pouvez pas exécuter l'Exchange Server Deployment Tools à partir d'un partage réseau avec succès après avoir installé Windows Server 2003 SP1 (897340) Utilisateurs de Microsoft Outlook ne peuvent pas être en mesure après vous le Security Configuration Wizard exécuté dans Windows Server 2003 SP1 à se connecter à leurs comptes (896742) Clients VPN ne peuvent plus de ressources d'accès internes une fois que vous installez Windows Server 2003 Service Pack 1 sur un ordinateur qui exécute ISA Server 2000 (897651) Espace disque minimal requis pour Windows Server 2003 Service Pack 1 (892807) Compatibilité Windows Server 2003 Service Pack 1 d'applications (896367) Prise en charge pour Windows Server 2003 SP1 sur dispositifs de serveur Windows Storage Server 2003-based (894372) Notes de publication pour Windows Server 2003 Service Pack 1 (889101)

Quelques ressources utiles SP1 de Windows /servicepack/default.mspx Windows 2003 R2 w/default.mspx Site Sécurité Séminaire Technet, Webcasts/e demos et Chats Newsgroup : sécurité microsoft.public.fr.securite

Questions / Réponses