Windows XP SP2 et Windows Server 2003 SP1

1. Windows XP SP2et Windows Server 2003 SP1 Pascal Sauliere Consultant Principal Sécurité, CISSP Microsoft France

2. La stratégie sécurité de Microsoft Authentification, Autorisation, Audit Excellence de l’engineering Mise à jour avancée Conseils, Outils, Réponse Isolation et résilience

3. Sommaire • Windows XP SP2 • Windows Server 2003 SP1 • Compatibilité des applications • Déploiement et administration

4. Windows XP SP2Réduction des modes d’attaque Pare-feu amélioré Configuration réseau RPC DCOM renforcée Pièces jointes ActiveX, pop-up Protection contre les Buffer Overflow Protection réseau Mail et IM plus sûrs Navigation Web plus sûre Mémoire Communiquer et collaborer de manière plus sécuriséesans sacrifier la productivité des collaborateurs

5. Réseau : pare-feu, DCOM, RPC… • Objectifs • Fournir par défaut une meilleure protection contre les attaques réseau • Systèmes nomades, PME, utilisateurs à la maison • Ce que nous faisons • Services Alerter et Messenger désactivés par défaut • Pare-feu Windows en service par défaut • Plus d’options de configuration – stratégies de groupe, ligne de commande (netsh), interface graphique • Protection lors du démarrage • Support de plusieurs profils – domaine et standard • Restriction des connexions anonymes pour DCOM/RPC • Impacts sur les applications • Les connexions réseau entrantes ne sont plus permises par défaut • Les ports qui écoutent ne sont ouverts que pendant que l’application s’exécute

8. Pièces jointes : OE, IE, IM… • Objectifs • Mécanisme système cohérent permettant de déterminer les attachements dangereux • Expérience cohérente lors de la décision de faire confiance à un attachement • Ce que nous faisons • Créer une nouvelle API publique pour gérer les attachements sans danger (Attachment Execution Service) • Par défaut, on ne fait pas confiance aux attachements dangereux • Outlook Express, Windows Messenger, IE modifiés pour utiliser la nouvelle API • Ouvrir / exécuter les attachements avec le moins de privilège possible • Prévisualisation sans danger des messages • Remplace AssocIsSafe() • Impact sur les applications • Utiliser les nouvelles API dans vos applications pour une meilleure expérience utilisateur et une meilleure détermination du danger d’un contenu • Les applications concernées par les attachements email peuvent être impactées

9. Navigation Web • Objectifs • Assurer une expérience de navigation Web sécurisée • Ce que nous faisons • Verrouiller les zones local machine et local intranet • Améliorer les notifications lors de l’exécution ou de l’installation de contrôles et d’applications ActiveX • Désarmer les attaques en cross domain script sur les API • Limitation de l’usurpation d’interface utilisateur • Suppression des fenêtres de pop-up sauf si elles sont lancées par une action utilisateur • Impact sur les applications • Contrôler la compatibilité des applications Web avec le nouveau paramétrage par défaut plus sécurisé • Les applications business qui utilisent les pop-ups peuvent nécessiter un changement ou être ajoutées à la liste des exceptions

10. Protection contre l’exécution des données • Objectifs • Réduire l’exposition à certains buffer overruns • Ce que nous faisons • Tirer parti du support hardware des processeurs 64 bits et des derniers processeurs 32 bits pour ne permettre l’exécution de code en mémoire que dans des régions spécifiquement marquées comme execute • Réduit l’exploitabilité des buffer overruns • Mis en service par défaut sur toutes les machines capables de le faire pour les binaires Windows • Impact sur les applications • Assurez-vous que votre application n’exécute par de code dans un segment data • Assurez-vous que votre code s’exécute en mode PAE avec moins de 4 GO de RAM • Utiliser VirtualAlloc avec PAGE_EXECUTE pour allouer de la mémoire utilisée pour y charger un exécutable • Tester votre code sur des processeurs 64 bit et 32 bits avec execution protection

11. Autres améliorations • Nouveau « Centre de sécurité » • Amélioration du service de mise à jour automatique des postes • Intégration du nouveau client Windows Update Services • Nouveau client réseau sans fil universel • Améliorations du client Bluetooth • Mise à jour de Windows Media Player 9

12. Sommaire • Windows XP SP2 • Windows Server 2003 SP1 • Compatibilité des applications • Déploiement et administration

13. Objectifs de Windows Server 2003 SP1 • Sécurité améliorée • Réduction de la surface d’attaque • Nouvelles amélioration de la sécurité • Configuration par défaut plus sûre et réduction des privilèges des services : RPC, DCOM • Support du matériel « No Execute » : Intel, AMD • Pare-feu Windows activé par défaut : nouveau scénario d’installation • Assistant Configuration de la Sécurité (SCW) : configuration et « verrouillage » par rôle • Audit de la metabase IIS 6.0 • Fiabilité améliorée • Performances améliorées • Amélioration 10%+ pour TPC, TPC-H, SAP, SSL, etc.

14. Fonctionnalités reprises deWindows XP SP2 • Pare-feu Windows • Configuration : Stratégies de groupes, ligne de commande, installation silencieuse • Protection au démarrage • Configuration selon le rôle du serveur • Protection de RPC/DCOM • Objets RPC exécutés avec des privilèges réduits • Nouvelles clés de registre RPC • Permet aux applications serveurs de restreindre l’accès aux interfaces • Restrictions d’accès DCOM complémentaires • Modèle d’authentification renforcé • Réduction globale du risque lié aux attaques • Les ports RPC et DCOM sont gérés comme un cas particulier par le pare-feu Windows

15. Mises à jour de sécurité post-installation pour Windows Server (PSSU – Post-Setup Security Updates) • Objectif : protéger le premier démarrage et appliquer les derniers correctifs de sécurité • Exécuté au premier logon administrateur si le pare-feu Windows n’est pas activé explicitement par le script d’installation ou les stratégies de groupe • Bloque les connexions entrantes jusqu’à ce que l’administrateur clique sur « Terminer »

16. Mises à jour de sécurité post-installation pour Windows Server

17. Mises à jour de sécurité post-installation pour Windows Server • Lien vers Windows Update • Possibilité de configurer les mises à jour automatiques (Auto Update) • Ré-exécuté si non terminé au premier redémarrage • En cas de fermeture forcée (Alt+F4), aucun changement n’est appliqué au pare-feu, PSSU sera ré-exécuté au prochain logon administrateur

18. Assistant Configuration de la Sécurité • Réduction de la surface d’attaque pour les serveurs Windows • Métaphore des rôles • Désactive les services non nécessaires • Désactive les Extensions Web IIS non nécessaires • Bloque les ports non utilisés, y compris sur les systèmes à plusieurs cartes réseau • Aide la sécurisation des ports laissés ouverts par IPsec • Réduit l’exposition des protocoles (signature LDAP & SMB, Compatibilité Lan Man et LMHash…) • Configure l’audit (SACLs) • Possibilité d’import de modèles SCE • Sécurité simplifiée • Les rôles simplifient les décisions • Processus automatisé par rapport à de la documentation détaillée • Entièrement testé et supporté par Microsoft

19. Opérations liées à SCW • Retour en arrière en cas d’interruption de service imprévue • Analyse, pour vérifier la conformité des machines par rapport aux stratégies • Configuration et analyse à distance • Ligne de commande pour configuration et analyse à distance et en masse • Intégration à Active Directory pour un déploiement par stratégies de groupe • Possibilité d’éditer les stratégies créées, lorsque les machines sont réaffectées • Vues XSL de la Base de Connaissances, des stratégies et des résultats d’analyse

20. Windows Server 2003 SP1Quelques autres nouveautés • Access-based Enumeration – ne montrer aux utilisateurs que les fichiers et répertoires auxquels ils ont accès. Outil de configuration :http://go.microsoft.com/?linkid=2726554 • RRAS : support des outils de quarantaine (rqc/rqs) • Terminal Services : utilisation de SSL/TLS 1.0 pour l’authentification du serveur et le chiffrement (client RDP 5.2 sur Windows 2000, XP, 2003)What’s New in TS : http://go.microsoft.com/?linkid=2700421

21. Références • Changes to Functionality in Microsoft Windows Server 2003 Service Pack 1http://www.microsoft.com/downloads/details.aspx?FamilyID=c3c26254-8ce3-46e2-b1b6-3659b92b2cde&DisplayLang=en(anglais) • Changes to Functionality in Microsoft Windows XP Service Pack 2http://www.microsoft.com/technet/prodtechnol/winxppro/maintain/sp2chngs.mspx(anglais, français)

22. Sommaire • Windows XP SP2 • Windows Server 2003 SP1 • Compatibilité des applications • Déploiement et administration

23. Compatibilité des applications

24. Application Compatibility Toolkit (ACT) • ACT 4.0 (mars 2005) • Spécifiquement conçu pour le SP2 • Pour les professionnels • Disponible :http://www.microsoft.com/technet/prodtechnol/windows/appcompatibility/default.mspx • Application Compatibility Testing and Mitigation Guide for Windows XP Service Pack 2 (SP2)http://www.microsoft.com/technet/prodtechnol/winxppro/deploy/appcom/default.mspx

28. Sommaire • Windows XP SP2 • Windows Server 2003 SP1 • Compatibilité des applications • Déploiement et administration

29. Projet de déploiement Points clés • Le déploiement de XP SP2 est un événement majeur • Traitez-le comme un mini déploiement d’OS • Testez, testez, testez ! • Les utilisateurs seront impactés • Formation et communication • Profitez de SMS 2003 pour minimiser l’impact du déploiement • Profitez d’Active Directory pour l’administration

30. Points clés du projet • Gestion de projet • Compatibilité des applications • Revue et mise à jour de la politique de sécurité • Éducation et formation des utilisateurs • Déploiement en phases

31. Méthodes de déploiement • Mise à jour – systèmes existants • Installation intégrée (slipstream) – nouveaux systèmes

32. Outils et fichiers (XP SP2) • http://go.microsoft.com/fwlink/?linkID=23354 • WindowsXP-KB835935-SP2-ENU.exeWindowsXP-KB835935-SP2-FRA.exeXPSP2.EXE sur le CD • Update.exe (dans update\) • Windows Installer et Update.msi (dans update\) • Unattend.txt pour les installations intégrées

33. Outils et fichiers • Extraction : XPSP2.EXE /u /x:<chemin> XPSP2.EXE /? update\update.exe /?

34. Déploiement mise à jour • SMS 2.0 • SMS 2003 • Autres systèmes de télédistribution • Exemple :update.exe /quiet /forcerestart • Stratégie de Groupe, update.msi • SUS [WSUS]

35. Installation intégrée • Créer un répertoire de distributionmd d:\xpsp2\pro • Copier Windows XP GOLD dans le répertoire xcopy [CD]:\ d:\xpsp2\pro /e • Extraire les fichiers du SP2WindowsXP-KB835935-SP2-FRA.exe /u /x:d:\temp • Intégrer le SP2 dans le répertoire de distributiond:\temp\i386\update\update.exe /integrate:d:\xpsp2\pro • Personnaliser l’installation de Windows XP

36. Nouveaux modèles d’administration Modèles : • system.adm (Windows 2000, XP, 2003) • inetres.adm (Internet Explorer) • conf.adm (NetMeeting 3.01) • wmplayer.adm (Windows Media Player) • wuau.adm (Automatic Updates)

37. Modèles d’administration

38. Nouveautés • Configuration du client AutoUpdate • Configuration du Centre de Sécurité • Configuration du Pare-feu Windows • Configuration d’Internet Explorer • Configuration des réseaux sans fil avec WPA, WPA-PSK, TKIP

39. Références • 816662 - Recommendations for managing Group Policy administrative template (.adm) fileshttp://support.microsoft.com/kb/816662 • 842933 - The following entry in the [strings] section is too long and has been truncated error message when you try to modify or to view GPOs in Windows Server 2003, Windows XP, or Windows 2000http://support.microsoft.com/kb/842933 • Group Policy Settings Reference for Windows XP Professional Service Pack 2http://go.microsoft.com/fwlink/?LinkId=22031

40. Microsoft France 18, avenue du Québec 91 957 Courtaboeuf Cedex www.microsoft.com/france 0 825 827 829 msfrance@microsoft.com