nouveautés en matière de sécurité du service pack 2 de windows xp
TRANSCRIPT
Nouveautés en matière de Nouveautés en matière de sécurité du Service Pack 2 de sécurité du Service Pack 2 de
Windows XPWindows XP
Nouveautés en matière de Nouveautés en matière de sécurité du Service Pack 2 de sécurité du Service Pack 2 de
Windows XPWindows XP
SommaireSommaire
MotivationMotivation
Les 4 grands axes :Les 4 grands axes :Protection réseauProtection réseau
Navigation InternetNavigation Internet
Messagerie et messagerie instantanéeMessagerie et messagerie instantanée
Protection mémoireProtection mémoire
Autres améliorationsAutres améliorations
Préinstallation OPK de Windows XPPréinstallation OPK de Windows XP
Prolifération des correctifsProlifération des correctifs
Temps avant exploitation en Temps avant exploitation en baissebaisse
Exploitations plusExploitations plussophistiquéesophistiquée
L’approche classique n’est L’approche classique n’est pas suffisantepas suffisante
La sécurité est notre priorité n°1La sécurité est notre priorité n°1Il n’y a pas de remède miracleIl n’y a pas de remède miracle
Le changement nécessite des innovationsLe changement nécessite des innovations
151151180180
331331
Blaster
Blaster
Welchia/ Nachi
Welchia/ Nachi
NimdaNimda
2525
SQL Slammer
SQL Slammer
Nombre de jours Nombre de jours entre le correctif et entre le correctif et
l’exploitationl’exploitation
ConstatsConstatsOctobre 2003Octobre 2003
1818
Sasser
Sasser
Réponses pour améliorer la Réponses pour améliorer la sécuritésécurité
Faire tendre vers 0 le nombre de Faire tendre vers 0 le nombre de vulnérabilitésvulnérabilités
Améliorer la gestion des correctifs de Améliorer la gestion des correctifs de sécuritésécurité
Diminuer la vulnérabilité résultante, sans Diminuer la vulnérabilité résultante, sans application de correctifapplication de correctif
Fournir des guides et formationsFournir des guides et formations
Sensibiliser les utilisateursSensibiliser les utilisateurs
Windows XP Service Windows XP Service Pack 2Pack 2
Cumulatif des mises à jour post SP1 Cumulatif des mises à jour post SP1 http://go.microsoft.com/fwlink/?linkId=20403http://go.microsoft.com/fwlink/?linkId=20403 Pour autant, ce n’est pas un Service Pack Pour autant, ce n’est pas un Service Pack classiqueclassique
Ingénierie proactive plutôt que réactive en Ingénierie proactive plutôt que réactive en renforçant la sécurité par des moyens renforçant la sécurité par des moyens préventifs permettant de bloquer des classes préventifs permettant de bloquer des classes d’attaquesd’attaques
Réduction de la surface d’attaqueRéduction de la surface d’attaqueRenforcement des capacités de défense en Renforcement des capacités de défense en profondeurprofondeurMeilleure sécurité par défautMeilleure sécurité par défautMeilleure gestion des correctifs de sécuritéMeilleure gestion des correctifs de sécuritéDiminution du fardeau des décisions de sécurité pour Diminution du fardeau des décisions de sécurité pour l’utilisateurl’utilisateur
Approche bouclier pour diminuer les attaques Approche bouclier pour diminuer les attaques possibles et faire en sorte que 7 correctifs sur possibles et faire en sorte que 7 correctifs sur 10 déployables à votre rythme10 déployables à votre rythme
Windows XP Service Windows XP Service Pack 2Pack 2
Focus sur 4 grands types d’attaqueFocus sur 4 grands types d’attaqueRéseau (pare-feu amélioré / Réseau (pare-feu amélioré / configuration réseau RPC DCOM configuration réseau RPC DCOM renforcée)renforcée)
Messagerie électronique et messagerie Messagerie électronique et messagerie instantanée (pièces jointes) instantanée (pièces jointes)
Navigation Internet (ActiveX, pop-up)Navigation Internet (ActiveX, pop-up)
Mémoire Mémoire (protection de la mémoire (protection de la mémoire améliorée contre les améliorée contre les Buffer overflowsBuffer overflows))
Autres améliorations liées à la Autres améliorations liées à la maintenance de la sécuritémaintenance de la sécurité
Protection réseauProtection réseauProtection réseauProtection réseau
Pare-feu Pare-feu WindowsWindowsRPC / DCOMRPC / DCOM
Activé par défaut sur Activé par défaut sur toutes les interfaces toutes les interfaces (LAN, modem, VPN, Wi-(LAN, modem, VPN, Wi-Fi,…) Fi,…)
Réseau d’entreprise
Protection lors du Protection lors du démarrage avec démarrage avec règle statique par règle statique par défaut (sauf si défaut (sauf si désactivé) : seuls désactivé) : seuls DNS, DHCP et DNS, DHCP et Netlogon sont Netlogon sont autorisés jusqu’à ce autorisés jusqu’à ce que le pare-feu ait que le pare-feu ait démarrédémarré
Détecte Détecte automatiquement la automatiquement la connexion au réseau connexion au réseau d’entreprise et utilise d’entreprise et utilise la configuration la configuration correspondante correspondante (profil du domaine vs (profil du domaine vs profil standard)profil standard)
Internet
Restriction de Restriction de certains services au certains services au réseau local ou à une réseau local ou à une certaine étendue certaine étendue (adresses sources)(adresses sources)
Pare-feu activé en Pare-feu activé en permanencepermanence
Pare-feu WindowsPare-feu Windows
3 modes opérationnels3 modes opérationnelsActivé (trafic entrant autorisé = exception)Activé (trafic entrant autorisé = exception)Activé sans exception (plus de trafic entrant non sollicité, Activé sans exception (plus de trafic entrant non sollicité, conservation des réglages)conservation des réglages)DésactivéDésactivé
Configuration globale (réglage par interface Configuration globale (réglage par interface possible)possible)Liste d’exceptions Liste d’exceptions Ouverture statique de portsOuverture statique de portsConfig d’options ICMPConfig d’options ICMPSimplification des réglages (ex : partage de Simplification des réglages (ex : partage de fichiers)fichiers)Journalisation des paquets rejetés et des Journalisation des paquets rejetés et des connexions réussiesconnexions réussiesSupport de IPv6Support de IPv6
Gestion du pare-feu Gestion du pare-feu WindowsWindowsInterface Interface utilisateurutilisateur
Ligne de commande Ligne de commande (Netsh)(Netsh)
Stratégie de Stratégie de groupegroupe
APIAPIFichier Fichier d’installation d’installation unattendedunattended
Pare-feu WindowsPare-feu WindowsStratégies de groupeStratégies de groupe
Mise à jour de system.adm (en éditant une Mise à jour de system.adm (en éditant une GPO depuis un poste XPSP2, les nouveaux GPO depuis un poste XPSP2, les nouveaux paramètres SP2 seront ajoutés à la GPO paramètres SP2 seront ajoutés à la GPO éditée)éditée)GPO et cohabitation SP1 et SP2GPO et cohabitation SP1 et SP2
Avant : Modèles d’administration\Réseau\Avant : Modèles d’administration\Réseau\Connexions réseauConnexions réseau
Interdire l’utilisation de pare-feu de connexion Internet Interdire l’utilisation de pare-feu de connexion Internet sur le réseau de votre domaine DNSsur le réseau de votre domaine DNS
Maintenant (nouvelles GPO) : Configuration Maintenant (nouvelles GPO) : Configuration ordinateur\Modèles d’administration\Réseau\ordinateur\Modèles d’administration\Réseau\Connexions réseau\Pare-feu Windows\Profil Connexions réseau\Pare-feu Windows\Profil standard (ou Profil du domaine)standard (ou Profil du domaine)
Protéger toutes les connexions réseauProtéger toutes les connexions réseauN’autoriser aucune exceptionN’autoriser aucune exceptionEmpêcher les notificationsEmpêcher les notifications……
Pare-feu WindowsPare-feu Windows
Liste des exceptionsListe des exceptionsDans les versions précédentes, les applications Dans les versions précédentes, les applications devaient demander explicitement l’ouverture devaient demander explicitement l’ouverture d’un port (API)d’un port (API)Or, les ports ne sont pas toujours connus à Or, les ports ne sont pas toujours connus à l’avancel’avanceNouvelles fonctionnalité : toute application Nouvelles fonctionnalité : toute application ajoutée à la liste ouvrira les ports nécessaires ajoutée à la liste ouvrira les ports nécessaires quel que soit le contexte de sécuritéquel que soit le contexte de sécuritéLa manipulation de la liste demande les La manipulation de la liste demande les privilèges administrateursprivilèges administrateursStratégies de groupeStratégies de groupe
Définir les exceptions de portDéfinir les exceptions de portAutoriser les exceptions de ports locaux (permet aux Autoriser les exceptions de ports locaux (permet aux administrateurs locaux d’ajouter des exceptions)administrateurs locaux d’ajouter des exceptions)
Pare-feu WindowsPare-feu Windows
Support broadcast et multicast Support broadcast et multicast Les trafics de broadcast et de multicast Les trafics de broadcast et de multicast sont différents de l’unicast car la sont différents de l’unicast car la réponse provient d’un hôte inconnuréponse provient d’un hôte inconnu
La pare-feu autorise une réponse La pare-feu autorise une réponse unicast pendant 3 secondes depuis unicast pendant 3 secondes depuis n’importe quelle adresse source avec le n’importe quelle adresse source avec le même port que celui duquel le trafic a même port que celui duquel le trafic a été émisété émis
Stratégie de groupe : empêcher les Stratégie de groupe : empêcher les réponses monodiffusion pour des réponses monodiffusion pour des requêtes multidiffusion ou diffusionrequêtes multidiffusion ou diffusion
Pare-feu WindowsPare-feu Windows
Profils multiples Profils multiples Chaque profil correspond à un Chaque profil correspond à un paramétrageparamétrageL’un pour le réseau d’entreprise L’un pour le réseau d’entreprise (domaine), l’autre pour les autres (domaine), l’autre pour les autres réseaux (ex : hôtel, hotspot)réseaux (ex : hôtel, hotspot)
Si aucun contrôleur de domaine sur le réseau Si aucun contrôleur de domaine sur le réseau : profil : profil standardstandardSinon profil Sinon profil domainedomaine
Attention : nécessite un domaine (les Attention : nécessite un domaine (les machines en groupe de travail n’ont machines en groupe de travail n’ont qu’un seul profil)qu’un seul profil)Recommandation : configurer les 2 Recommandation : configurer les 2 profilsprofils
Déploiement du pare-feu Déploiement du pare-feu sans les stratégies de sans les stratégies de groupegroupeNetfw.inf à l’installationNetfw.inf à l’installation
http://www.microsoft.com/downloads/dethttp://www.microsoft.com/downloads/details.aspx?familyid=cb307a1d-2f97-4e63-ails.aspx?familyid=cb307a1d-2f97-4e63-a581-bf25685b4c43&displaylang=ena581-bf25685b4c43&displaylang=en
Script netsh après l’installationScript netsh après l’installationnetsh firewall set portopening UDP 1434 Slammernetsh firewall set portopening UDP 1434 Slammer
Amélioration RPC / Amélioration RPC / DCOMDCOM
Restriction RPCRestriction RPCS’exécute avec des privilèges moindreS’exécute avec des privilèges moindre
Requière une authentification sur les interfaces Requière une authentification sur les interfaces par défaut (clé de registre par défaut (clé de registre RestrictRemoteClients)RestrictRemoteClients)
Possibilité de restreindre à la machine locale Possibilité de restreindre à la machine locale par programmationpar programmation
Désactivation de RPC via UDP par défautDésactivation de RPC via UDP par défaut
Restriction DCOMRestriction DCOMS’exécute avec des privilèges moindreS’exécute avec des privilèges moindre
Contrôle d’accès plus stricte et paramétrable Contrôle d’accès plus stricte et paramétrable via le registre (accès, lancement, activation)via le registre (accès, lancement, activation)
Navigation Internet plus Navigation Internet plus suresureNavigation Internet plus Navigation Internet plus suresure
Les zones de sécurité Les zones de sécurité d’IEd’IEZone Poste de travailZone Poste de travail
Non montrée dans l’interface Non montrée dans l’interface utilisateurutilisateurTout contenu HTML sur la Tout contenu HTML sur la machine localemachine localeNiveau de sécurité Faible Niveau de sécurité Faible pour supporter les pour supporter les applications HTMLapplications HTML
Sites de confianceSites de confianceNiveau de sécurité : FaibleNiveau de sécurité : Faible
Intranet localIntranet localMachines dans votre Machines dans votre domainedomaineNiveau de sécurité : Niveau de sécurité : moyennement basmoyennement bas
InternetInternetNoms FQDNNoms FQDNNiveau de sécurité : MoyenNiveau de sécurité : Moyen
Sites sensiblesSites sensiblesUtilisé par les applications Utilisé par les applications pour manipuler des e-mail pour manipuler des e-mail HTML avec un niveau de HTML avec un niveau de sécurité Hautsécurité Haut
Navigation plus sureNavigation plus sure
Verrouillage des zones Poste de travail et Verrouillage des zones Poste de travail et intranetintranetAmélioration de la notification pour Amélioration de la notification pour l’exécution et l’installation d’applications l’exécution et l’installation d’applications ou de contrôles ActiveXou de contrôles ActiveXÉviter l’usurpation d’interface graphiqueÉviter l’usurpation d’interface graphiqueBloqueur d’éléments contextuels (pop-Bloqueur d’éléments contextuels (pop-ups!) ups!)
Bloque les pop-ups non sollicitésBloque les pop-ups non sollicitésPeut permettre des pop-ups pour certains Peut permettre des pop-ups pour certains domaines (ex: intranet)domaines (ex: intranet)Les fenêtres ouvertes par un clic de l’utilisateur Les fenêtres ouvertes par un clic de l’utilisateur ne sont pas restreintesne sont pas restreintes
Verrouillage de la zone Verrouillage de la zone Poste de travailPoste de travail
Avant le SP2 : les fichiers de la Avant le SP2 : les fichiers de la machine locale et le contenu associé machine locale et le contenu associé n’avaient pas de zonen’avaient pas de zone
Désormais, tout le contenu local est Désormais, tout le contenu local est dans le contexte de sécurité de la dans le contexte de sécurité de la zone Poste de travail (afin d’éviter les zone Poste de travail (afin d’éviter les tentatives d’élévation de privilèges)tentatives d’élévation de privilèges)
Gérer les modules Gérer les modules complémentairescomplémentaires
Visualisation et contrôle des modules Visualisation et contrôle des modules complémentaires chargéscomplémentaires chargés
L’administrateur peut établir la liste L’administrateur peut établir la liste des modules complémentaires des modules complémentaires autorisés et interditsautorisés et interdits
Attention : ces modules peuvent toujours Attention : ces modules peuvent toujours être appelés par d’autres composants, être appelés par d’autres composants, d’où l’importance de gérer l’inclusion de d’où l’importance de gérer l’inclusion de modules complémentairesmodules complémentaires
Comportements binaires; Comportements binaires; cachecache
Comportements binaires Comportements binaires Composants qui encapsulent certaines Composants qui encapsulent certaines fonctionnalités pour des éléments HTMLfonctionnalités pour des éléments HTMLPréalablement non contrôlés, peuvent Préalablement non contrôlés, peuvent maintenant être restreints par zonemaintenant être restreints par zoneEn particulier, Sites sensiblesEn particulier, Sites sensibles
Mise en cache des objetsMise en cache des objetsAuparavant : des objets pouvaient être mis en Auparavant : des objets pouvaient être mis en cache pour donner accès à des contenus d’une cache pour donner accès à des contenus d’une autre page Web (le navigateur affiche du autre page Web (le navigateur affiche du contenu et des objets de 2 sites)contenu et des objets de 2 sites)Problème : l’objet en cache (script) pouvait Problème : l’objet en cache (script) pouvait écouter des événements dans un autre écouter des événements dans un autre frame frame (carte de crédit)(carte de crédit)Erreurs « Accès refusé ». L’objet doit être remis Erreurs « Accès refusé ». L’objet doit être remis en cache avant de pouvoir être accédé par en cache avant de pouvoir être accédé par scriptscript
Types MIMETypes MIME
Le type MIME (Le type MIME (Multipurpose Internet Mail Multipurpose Internet Mail ExtensionsExtensions) détermine la façon dont un ) détermine la façon dont un contenu est manipulécontenu est manipulé
Ex : une image est affichée alors qu’un Ex : une image est affichée alors qu’un exécutable provoquera une boîte de dialogue exécutable provoquera une boîte de dialogue de téléchargementde téléchargement
Nouvelles règles pour éviter l’usurpation Nouvelles règles pour éviter l’usurpation de type MIMEde type MIMELe MIME « sniff » déterminera si un fichier Le MIME « sniff » déterminera si un fichier est un exécutable déguisé (signature de est un exécutable déguisé (signature de bits). Tous les fichiers ainsi détectés auront bits). Tous les fichiers ainsi détectés auront leur extension modifiée et seront leur extension modifiée et seront enregistrés dans le cacheenregistrés dans le cacheImportant : correspondance sur le sites des Important : correspondance sur le sites des entêtes et des extensionsentêtes et des extensions
Éditeurs de confianceÉditeurs de confiance
Une seule boîte de Une seule boîte de dialogue par ActiveX et dialogue par ActiveX et par page (pour que par page (pour que l’utilisateur n’accepte l’utilisateur n’accepte pas par résignation pas par résignation suite à de multiples suite à de multiples demandes) demandes) Auparavant : option de Auparavant : option de toujours faire confiance toujours faire confiance à un éditeurà un éditeurMaintenant : option Maintenant : option inverse aussi disponibleinverse aussi disponibleLa description de La description de l’application et du nom l’application et du nom de l’éditeur sont de l’éditeur sont affichés pour éviter les affichés pour éviter les confusions (faux CLUF)confusions (faux CLUF)
Restrictions sur les Restrictions sur les fenêtresfenêtres
Interdiction de créer une fenêtre pop-Interdiction de créer une fenêtre pop-up sans la barre d’adresse, la barre up sans la barre d’adresse, la barre de titre et la barre d’outilsde titre et la barre d’outils
Interdiction de déplacement d’une Interdiction de déplacement d’une fenêtre par script en dehors de la fenêtre par script en dehors de la zone visible par l’utilisateurzone visible par l’utilisateur
Blocage de l’élévation de Blocage de l’élévation de zonezone
Empêche la Empêche la modification des modification des paramètres de paramètres de sécurité depuis un sécurité depuis un contenu qui s’exécute contenu qui s’exécute dans une zone dans une zone inférieureinférieure
Les pages Web qui Les pages Web qui appelles d’autres appelles d’autres pages plus privilégiées pages plus privilégiées échouent (une page échouent (une page dans la zone Internet dans la zone Internet ne peut pas naviguer ne peut pas naviguer vers une page de la vers une page de la zone Poste de travail)zone Poste de travail)
En navigant d’une En navigant d’une zone peu privilégiée zone peu privilégiée vers…vers…
..IE aura le ..IE aura le comportement comportement suivantsuivant
Poste de travailPoste de travail BlocageBlocage
Sites de confianceSites de confiance DemandeDemande
Intranet localIntranet local DemandeDemande
InternetInternet AutorisationAutorisation
Sites sensiblesSites sensibles AutorisationAutorisation
Nouvelles stratégies de Nouvelles stratégies de groupe (GPO)groupe (GPO)
Configuration utilisateur\Modèles Configuration utilisateur\Modèles d’administration\Composants Windows\d’administration\Composants Windows\Internet ExplorerInternet Explorer
Gestion des modules complémentaires : ModeGestion des modules complémentaires : Mode……
Configuration utilisateur\Modèles Configuration utilisateur\Modèles d’administration\Composants Windows\d’administration\Composants Windows\Internet Explorer\Panneau de configuration Internet Explorer\Panneau de configuration de Internet\Onglet Sécuritéde Internet\Onglet SécuritéConfiguration utilisateur\Modèles Configuration utilisateur\Modèles d’administration\Composants Windows\d’administration\Composants Windows\Internet Explorer\Panneau\Fonctionnalités Internet Explorer\Panneau\Fonctionnalités de sécuritéde sécurité
Internet Explorer, Tous les processus ou Liste Internet Explorer, Tous les processus ou Liste des processusdes processus
Messagerie et Messagerie et messagerie messagerie instantanée plus instantanée plus suressures
Messagerie et Messagerie et messagerie messagerie instantanée plus instantanée plus suressures
Pièces jointesPièces jointesGestion des pièces jointesGestion des pièces jointes
Pour gérer en un point unique la notion de Pour gérer en un point unique la notion de confiance en un type de pièce jointeconfiance en un type de pièce jointePour permettre aux applications d’avoir un Pour permettre aux applications d’avoir un moyen cohérent de déterminer les pièces moyen cohérent de déterminer les pièces jointes dangereusesjointes dangereuses
Création d’une API publique de gestion des Création d’une API publique de gestion des pièces jointes (Attachment Execution pièces jointes (Attachment Execution Services) au niveau du système pour une Services) au niveau du système pour une gestion cohérente pour toutes les gestion cohérente pour toutes les applicationsapplicationsPar défaut : tout est considéré comme Par défaut : tout est considéré comme dangereuxdangereuxOutlook Express, Windows Messenger, Outlook Express, Windows Messenger, Internet Explorer utilisent la nouvelle APIInternet Explorer utilisent la nouvelle APIOuverture et exécution avec le minimum Ouverture et exécution avec le minimum de privilègesde privilèges
Outlook ExpressOutlook Express
Aperçu de Aperçu de message plus sûrmessage plus sûrAméliorations dans Améliorations dans OE comparables à OE comparables à celles d’Outlook celles d’Outlook 2003 2003
E-mail HTML en E-mail HTML en zone Sites sensibleszone Sites sensiblesNon Non téléchargement du téléchargement du contenu HTML contenu HTML externeexterneProtection du carnet Protection du carnet d’adressesd’adressesProtection contre le Protection contre le contenu exécutablecontenu exécutable
Protection mémoireProtection mémoireProtection mémoireProtection mémoire
Réduction de l’exposition à certains Réduction de l’exposition à certains buffer overflowsbuffer overflows
Compilation avec /GS Compilation avec /GS (Visual Studio 2003)(Visual Studio 2003)
Sens croissant des adresses
Buffers Autres vars
EB
P
EIP Args
Une pile nomale
Buffers Autres varsEB
P
EIP Args
cookie
Pile VC++ 2002 (avec /GS)
BuffersAutres vars
EB
P
EIP Args
cookie
Pile VC++ 2003 (avec /GS et les safe exceptions)
Prévention de l’exécution Prévention de l’exécution des donnéesdes données
Prise en charge de la Prise en charge de la protection matérielle protection matérielle contre l’exécution (NX contre l’exécution (NX : No Execute) des : No Execute) des processeurs récents processeurs récents (Itanium / AMD64) (Itanium / AMD64)
Seules les régions de Seules les régions de mémoire marquées mémoire marquées explicitement pour explicitement pour l’exécution peuvent l’exécution peuvent s’exécuter (mode noyau s’exécuter (mode noyau et mode utilisateur)et mode utilisateur)Activé par défaut pour Activé par défaut pour les binaires Windowsles binaires WindowsAttention : applications Attention : applications de type compilateur de type compilateur juste à tempsjuste à temps
Autres améliorationsAutres améliorationsAutres améliorationsAutres améliorations
Autres améliorationsAutres améliorations
Mises à jour automatiqueMises à jour automatiqueÉcran modal lors de l’installation sauf siÉcran modal lors de l’installation sauf si
““AutomaticUpdates=1” in the “[Data]” section of the AutomaticUpdates=1” in the “[Data]” section of the UNATTEND.TXTUNATTEND.TXT
GPOGPO
Déjà réglé pour installation planifiéeDéjà réglé pour installation planifiée
Client pour Windows Update Services (SUS2)Client pour Windows Update Services (SUS2)
Gestion de la reprise du téléchargement d’un Gestion de la reprise du téléchargement d’un correctif interrompu ou incompletcorrectif interrompu ou incomplet
Note : son réglage n’est pas modifié par Note : son réglage n’est pas modifié par SysprepSysprep
Windows Update v5Windows Update v5
MSI 3.0MSI 3.0
Autres améliorationsAutres améliorations
Réduction de la surface d’attaque : Réduction de la surface d’attaque : désactivation du service Windows désactivation du service Windows Messenger (pop-up Windows) et Messenger (pop-up Windows) et AlerterAlerter
AutresAutresWindows Media Player 9Windows Media Player 9
DirectX 9.0bDirectX 9.0b
Bluetooth 2.0Bluetooth 2.0
Nouveau client WLAN universelNouveau client WLAN universel
Centre de sécuritéCentre de sécurité
Outil de suivi des 3 Outil de suivi des 3 étapes de étapes de protection des PCprotection des PC
Pare-feuPare-feu
Mise à jour Mise à jour automatiqueautomatique
Antivirus à jourAntivirus à jour
ConclusionConclusion
Une étape dans le voyage vers des plateformes, Une étape dans le voyage vers des plateformes, applications et périphériques sécurisésapplications et périphériques sécurisésPermettra une meilleure protectionPermettra une meilleure protection
Vous donnant du temps pour la gestion des correctifs de Vous donnant du temps pour la gestion des correctifs de sécuritésécuritéLimitant l’impact des vers et des virusLimitant l’impact des vers et des virusAugmentant la difficulté pour les attaquantsAugmentant la difficulté pour les attaquants
Large diminution de classes de vulnérabilités (vs Large diminution de classes de vulnérabilités (vs correction ponctuelle)correction ponctuelle)
Attaques réseauAttaques réseauAttaques d’ingénierie socialeAttaques d’ingénierie socialeBuffer overflowsBuffer overflows
Contrôle administratif des changementsContrôle administratif des changementsStratégie de groupe, scripts en ligne de commande, Stratégie de groupe, scripts en ligne de commande, registreregistre
Informations Informations disponiblesdisponibles
Infos sur le SP2 : Infos sur le SP2 : http://www.microsoft.com/france/windows/xp/sphttp://www.microsoft.com/france/windows/xp/sp2/2/
Infos techniques sur le SP2 :Infos techniques sur le SP2 :http://www.microsoft.com/france/technet/produithttp://www.microsoft.com/france/technet/produits/windowsxp/sp2/s/windowsxp/sp2/
Déploiement du SP2 :Déploiement du SP2 :http://www.microsoft.com/technet/prodtechnol/whttp://www.microsoft.com/technet/prodtechnol/winxppro/deploy/xpsp2dep.mspxinxppro/deploy/xpsp2dep.mspx
Site OEM :Site OEM :http://oem.microsoft.com/http://oem.microsoft.com/
OEM Preinstallation KitOEM Preinstallation Kit
Préinstallation de Windows Préinstallation de Windows avec les technologies WinPE & avec les technologies WinPE &
OPKOPK
OEM Preinstallation KitOEM Preinstallation Kit
Préinstallation de Windows Préinstallation de Windows avec les technologies WinPE & avec les technologies WinPE &
OPKOPK
Benjamin NATHANBenjamin NATHANPartners & System Builders Technology Partners & System Builders Technology [email protected]@microsoft.com
Méthodologiesouple
Méthodologiesouple
Permet de choisir entre différentes méthodes de préinstallation : CD Rom, Disque dur, Disque de démarrage MS DOS.
Permet de choisir entre différentes méthodes de préinstallation : CD Rom, Disque dur, Disque de démarrage MS DOS.
Personnalisation Personnalisation
Souplesse avec le matériel
Souplesse avec le matériel
Préinstallationd’applications
Préinstallationd’applications
Fonctionnalités d’Audit
Fonctionnalités d’Audit
Permet d’ajouter au système d’exploitation des raccourcis et des informations de personnalisationPermet d’ajouter au système d’exploitation des raccourcis et des informations de personnalisation
Permet de préinstaller des pilotes pour les périphériques dont le support n’est pas initialement intégré dans le système d’exploitation
Permet de préinstaller des pilotes pour les périphériques dont le support n’est pas initialement intégré dans le système d’exploitation
Permet d’installer des programmes logiciels pendant l’installation de Windows 2000 ServerPermet d’installer des programmes logiciels pendant l’installation de Windows 2000 Server
Permet de tester des ordinateurs préinstallés sans interrompre la procédure de préinstallationPermet de tester des ordinateurs préinstallés sans interrompre la procédure de préinstallation
Avantages du Avantages du Kit de Pré-installation OEM Kit de Pré-installation OEM (OPK)(OPK)
Jeu de configuration Jeu de configuration Rassemble les paramètres de configuration de la pré-installationRassemble les paramètres de configuration de la pré-installation
Ordinateur dedestination
Ordinateur dedestination
Ordinateur sur lequel l’installation de Windows XP va être copiée soit par Duplication de disque, soit par Syspart, soit par transfert réseaux
Ordinateur sur lequel l’installation de Windows XP va être copiée soit par Duplication de disque, soit par Syspart, soit par transfert réseaux
Pré-installation Pré-installation Procédure de chargement de Windows XP sur les nouveaux ordinateursProcédure de chargement de Windows XP sur les nouveaux ordinateurs
ImageImage Copie exacte du fichier original et de la structure du répertoireCopie exacte du fichier original et de la structure du répertoire
Ordinateur de référence
Ordinateur de référence
Ressource contenant l’arborescence qui spécifie tout le logiciel qui doit être distribué sur les ordinateurs de destination.
Ressource contenant l’arborescence qui spécifie tout le logiciel qui doit être distribué sur les ordinateurs de destination.
Ordinateur Principal Ordinateur Principal Ordinateur qui reçoit l’installation principale de Windows XP Server qui est ensuite dupliquée sur les serveurs de destination.
Ordinateur qui reçoit l’installation principale de Windows XP Server qui est ensuite dupliquée sur les serveurs de destination.
TerminologieTerminologie
Procédure de pré-installationProcédure de pré-installation
Ordinateur dutechnicienOrdinateur dutechnicien
Installez les outils de l’OPKActivez les applicationsCréez un jeu de configurationCopiez le fichier Winbom.ini sur
une disquette, un CD personnalisé ou une mémoire USB
Installez les outils de l’OPKActivez les applicationsCréez un jeu de configurationCopiez le fichier Winbom.ini sur
une disquette, un CD personnalisé ou une mémoire USB
Démarrez l’ordinateur à l’aide du CD OPK Windows XPInsérez la disquette Winbom.ini lors du démarrageDémarrez l’ordinateur à l’aide du CD OPK Windows XPInsérez la disquette Winbom.ini lors du démarrage
Rescellez l’ordinateur ou exécutez d’abord le mode Audit ou Usine à modifier, puis rescellez ensuiteRescellez l’ordinateur ou exécutez d’abord le mode Audit ou Usine à modifier, puis rescellez ensuite
OrdinateurmaîtreOrdinateurmaître
Créez une image de l’installation et stockez-la sur l’ordinateur du technicienCréez une image de l’installation et stockez-la sur l’ordinateur du technicien
Déployez l’image à partir de l’ordinateur du technicien vers le ou les ordinateur(s) de destinationDéployez l’image à partir de l’ordinateur du technicien vers le ou les ordinateur(s) de destination
Ordinateurs de destinationOrdinateurs de destination
Installation des outils de Installation des outils de l’OPKl’OPK
Exécution du Setup Manager Exécution du Setup Manager OEMOEM
Ajout des différents Ajout des différents OS à déployerOS à déployer
Même outil pour Même outil pour déployer Windows déployer Windows XP, Windows Server XP, Windows Server 2003 dans tous les 2003 dans tous les langages et toutes langages et toutes les versions (SKUs)les versions (SKUs)
Possibilités de Possibilités de personnalisationpersonnalisation
logos, logos,
références machines,références machines,
options des OSoptions des OS
applications applications installées…installées…
Setup Manager
Préinstallation OEM en utilisant Préinstallation OEM en utilisant le Setup Manager “Corporate”le Setup Manager “Corporate”
Est-ce que les System Est-ce que les System Builders sont obligés Builders sont obligés d’utiliser les outils de d’utiliser les outils de préinstallation réseaux ? préinstallation réseaux ? NonNon
Les System Builders Les System Builders peuvent aussi créer et peuvent aussi créer et utiliser de méthodes de utiliser de méthodes de pré-installation basées sur pré-installation basées sur un CD en utilisant un un CD en utilisant un fichier de réponses fichier de réponses WINNT.SIFWINNT.SIF
Les outils du setup Les outils du setup manager “Corporate” manager “Corporate” se trouve dans le se trouve dans le fichier fichier DEPLOY.CABDEPLOY.CAB situé sur le CD situé sur le CD d’installation Windows d’installation Windows XP.XP.
System Preparation Tool System Preparation Tool (Sysprep.exe)(Sysprep.exe)Factory Mode exécute
Winbom.ini, Installe les drivers et applications et rajoute les données clients
Audit Mode fourni une méthode simple pour vérifier les personnalisations, rajouter des drivers et des applications manuellement et rebooter la machine
Reseal Mode retire la clé produit utilisée pendant l’installation, reset l’EULA et prépare la machine pour la livraison
Interim WinPEInterim WinPE
Support de WMISupport de WMIPossibilité de créer des images iWinPE Possibilité de créer des images iWinPE qui contiennent les classes WMI qui contiennent les classes WMI Supporte plus de 40 provider WMI et Supporte plus de 40 provider WMI et 1500 classes1500 classesPermet d’accéder directement au Permet d’accéder directement au hardware de la machine au travers de hardware de la machine au travers de iWinPEiWinPEExemples de scripts de test Hardware Exemples de scripts de test Hardware
Utilisation de WMI pour tester la Utilisation de WMI pour tester la configuration de la machineconfiguration de la machine
Possibilité d’utiliser certaines APIs Possibilité d’utiliser certaines APIs Windows et d’utiliser des scriptsWindows et d’utiliser des scripts
Interim WinPEInterim WinPE
Support des périphérique Plug and Support des périphérique Plug and PlayPlay
Possibilité de créer des images WinPE Possibilité de créer des images WinPE capables de détecter dynamiquement capables de détecter dynamiquement les périphériques & l’ajout des drivers les périphériques & l’ajout des drivers associésassociés
Accès aux Périphériques Windows 32 Accès aux Périphériques Windows 32 bit et 64 bitbit et 64 bit
Possibilité de charger WinPE en RAMPossibilité de charger WinPE en RAMUtilisation d’un RAM Drive pour pouvoir Utilisation d’un RAM Drive pour pouvoir changer de CD pour par exemple changer de CD pour par exemple exécuter des testsexécuter des tests
Support du protocole PXESupport du protocole PXE
Comment intégrer le Service Pack 2 Comment intégrer le Service Pack 2 dans une image d’installation de dans une image d’installation de Windows XP existante ?Windows XP existante ?Ajout dans les images partagées dans le Ajout dans les images partagées dans le répertoire OPKTools – Etape par Etaperépertoire OPKTools – Etape par Etape1.1. Télécharge la mise à jour Télécharge la mise à jour
complète “Standalon” du complète “Standalon” du Service Pack : XPSP2.EXEService Pack : XPSP2.EXE
2.2. Créer un répertoire sur C:\ Créer un répertoire sur C:\ appelé appelé XPProXPPro pour pour Windows XP Professional et Windows XP Professional et XPHomeXPHome pour XP Home pour XP Home
3.3. Copier le contenu du CD de Copier le contenu du CD de Windows XP Pro et Home Windows XP Pro et Home dans ces répertoiresdans ces répertoires
4.4. Ouvrir une ligne de Ouvrir une ligne de commande et tapercommande et taper
5.5. XPSP2.EXE XPSP2.EXE /integrate:C:\XPPro/integrate:C:\XPPro
6.6. Lorsque l’installation du Lorsque l’installation du Service Pack 2 est Service Pack 2 est terminée, vous verrez un terminée, vous verrez un message du type : message du type : “Integrated install has “Integrated install has completed successfully.”completed successfully.”
7.7. Maintenant, aller dans le Maintenant, aller dans le menu Outils – Gestion des menu Outils – Gestion des Produits dans le Setup Produits dans le Setup Manager (Tools – Manage Manager (Tools – Manage Products) Products)
8.8. Cliquer sur Ajouter un Cliquer sur Ajouter un nouveau produit et nouveau produit et naviguer vers les naviguer vers les répertoires répertoires C:\XPProC:\XPPro et et C:\C:\XPHomeXPHome
Installation des patchsInstallation des patchs
Utilisation du Catalogue Windows UpdateUtilisation du Catalogue Windows Updatehttp://windowsupdate.microsoft.com/cataloghttp://windowsupdate.microsoft.com/catalog
Attention aux droits de redistributionAttention aux droits de redistribution
Récupération des patchs depuis le site Récupération des patchs depuis le site OEMOEM
Uniquement les patchs critiquesUniquement les patchs critiques
http://oem.microsoft.com/http://oem.microsoft.com/
Utilisation d’un serveur SUS ou WUSUtilisation d’un serveur SUS ou WUSRécupération des patchs et déploiement sur les Récupération des patchs et déploiement sur les machinesmachines
Attention à la configuration de la machine Attention à la configuration de la machine ensuiteensuite
Utilisation d’un script pour rétablir la Utilisation d’un script pour rétablir la configurationconfiguration
RIS & PréinstallationRIS & Préinstallation
Possibilité de rajouter WinPE dans les Possibilité de rajouter WinPE dans les déploiements RISdéploiements RIS
Remote Installation Services : Windows Remote Installation Services : Windows Server 2003Server 2003
Utilisation du fichier Winbom.iniUtilisation du fichier Winbom.iniJeux de configurationJeux de configuration
Personnalisation du déploiementPersonnalisation du déploiement
Ajout d’applicationsAjout d’applications
Déploiement via un réseau : boot PXEDéploiement via un réseau : boot PXE
enregistrement sur : enregistrement sur : www.microsoft.com/oem/francaiswww.microsoft.com/oem/francais
Site Microsoft OEMSite Microsoft OEMoem.microsoft.comoem.microsoft.com
Vous voulez tout savoir sur les produits Vous voulez tout savoir sur les produits OEM :OEM :
Informations techniquesInformations techniques
Guide étape par étape pour la pré-installation Guide étape par étape pour la pré-installation OEM de Windows XPOEM de Windows XP
Newsgroup Microsoft OEMNewsgroup Microsoft OEM
Informations commercialesInformations commerciales
Vous souhaitez promouvoir vos PC avec les Vous souhaitez promouvoir vos PC avec les produits Microsoft : Toolsoreproduits Microsoft : Toolsore
Outils d’aide à la vente - GratuitsOutils d’aide à la vente - Gratuits
© 2004 Microsoft Corporation. All rights reserved.This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.