Gestion des correctifs de sécurité Cyril VOISIN Chef de programme Sécurité Microsoft France

Gestion des Gestion des correctifs de correctifs de sécuritésécurité

Cyril VOISINCyril VOISINChef de programme Sécurité Chef de programme Sécurité MicrosoftMicrosoft France France

SommaireSommaire

Évolution des menacesÉvolution des menaces

Ce qui est disponible aujourd’huiCe qui est disponible aujourd’huimssecure.xmlmssecure.xml

MBSAMBSA

AutoUpdateAutoUpdate

SUSSUS

SUS Feature Pack pour SMSSUS Feature Pack pour SMS

Le futur procheLe futur procheSUS 2.0, convergence des installateurs, etc…SUS 2.0, convergence des installateurs, etc…

Pas simplement des technos…Pas simplement des technos…

Les 3 facettes de la sécuritéLes 3 facettes de la sécurité

ArchitectureArchitecturesécuriséesécurisée

PersonnesPersonnesAdmin.Admin.de l’Entreprise

de l’EntrepriseAdm

in.

Admin

.

Du Dom

aine

Du Dom

aine

Service/Service/

SupportSupport

Développeur

DéveloppeurUtilisateurUtilisateur

ArchivageArchivage

Politique

Politiqued’accès

d’accès

Inst

alla

tion

Inst

alla

tion

Réparation

RéparationGes

tion d

es

Ges

tion d

es

évén

emen

ts

évén

emen

ts

Gestion desGestion des

perfsperfs

Gestion du

Gestion du

Changement /

Changement /

de la C

onfiguratio

n

de la C

onfiguratio

n

Proc

essu

s

Proc

essu

s

RestaurationRestauration Sauvegard

e

Sauvegard

e

Réponse à Réponse à IncidentIncident

Mic

roso

ft

Mic

roso

ft

Ope

ratio

ns

Ope

ratio

ns

Fram

ewor

k

Fram

ewor

k

Evalu

atio

n

Evalu

atio

n

de ri

sque

s

de ri

sque

s

Technologies

TechnologiesWindows 2000/XP/2003

Windows 2000/XP/2003

Active Directory

Active Directory

Service PacksService Packs

Correctif

s

Correctif

s

IPSECIPSEC

KerberosKerberos

PKIPKI

DF

SD

FS

EFSEFS

SSL/TLS

SSL/TLS

Clusters

Clusters

Détectio

n

Détectio

n

d’in

trusio

nd

’intru

sion

SMSSMS

MOMMOM

ISAISA

Antivirus

Antivirus

GPOGPO

RMSRMS

Méthodologie processus : ITIL, Méthodologie processus : ITIL, MOFMOF

l’ITIL (Information Technology Infrastructure l’ITIL (Information Technology Infrastructure Library) Library)

Crée par l’office de commerce du gouvernement Crée par l’office de commerce du gouvernement britannique (OGC)britannique (OGC)

Un ensemble de préconisations pour encadrer et Un ensemble de préconisations pour encadrer et assurer la qualité de l’exploitation des systèmes assurer la qualité de l’exploitation des systèmes d’informations . d’informations .

MOF ( Microsoft Operations Framework )MOF ( Microsoft Operations Framework )Replace les préconisations d’ITIL dans le cycle de vie Replace les préconisations d’ITIL dans le cycle de vie d’une exploitation.d’une exploitation.

En déduit les outils et les procédures adaptés aux En déduit les outils et les procédures adaptés aux produits Microsoft.produits Microsoft.

Analyse l’exploitation en terme de service.Analyse l’exploitation en terme de service.

Modèle de Processus MOFModèle de Processus MOF

Help Desk Help Desk

Gestion des Incidents Gestion des Incidents

Gestion des ProblèmesGestion des Problèmes

Gestion du ChangementGestion du Changement

Gestion des ConfigurationsGestion des Configurations

Gestion des Nouvelles VersionsGestion des Nouvelles Versions

AdministrationAdministration ( (Systèmes , Systèmes , Réseaux, annuaire, impression)Réseaux, annuaire, impression)

Gestion de la SécuritéGestion de la Sécurité

Surveillance et SupervisionSurveillance et Supervision

Gestion des TravauxGestion des Travaux

Sauvegarde & RestaurationSauvegarde & Restauration

Revue de Revue de RecetteRecette

Revue de Revue de Mise en Mise en

ProductionProductionRevue de Revue de ServiceService

Revue Revue d’Exploitationd’Exploitation

Niveaux de ServiceNiveaux de Service

Gestion FinancièreGestion Financière

Continuité de ServiceContinuité de Service

Gestion de la DisponibilitéGestion de la Disponibilité

Gestion de CapacitéGestion de Capacité

Gestion des ÉquipesGestion des Équipes

ApprocheApproche

Pour chaque bulletin de sécurité (sortie le Pour chaque bulletin de sécurité (sortie le deuxième mardi du mois en général)deuxième mardi du mois en général)

Evaluer l’impact de la vulnérabilité dans votre Evaluer l’impact de la vulnérabilité dans votre environnementenvironnement

Mesurer l’impact de la mise en œuvre du correctif ou de Mesurer l’impact de la mise en œuvre du correctif ou de son contournementson contournement

En tout état de cause, il faut répondre aux questions En tout état de cause, il faut répondre aux questions suivantessuivantes

Possibilité de retour en arrière ?Possibilité de retour en arrière ?

Plan de secours ?Plan de secours ?

Quels tests sont possibles ou requis ? Dans quel délai ?Quels tests sont possibles ou requis ? Dans quel délai ?

Ce changement exigera-t-il un autre changement?Ce changement exigera-t-il un autre changement?

Selon le résultat, prendre la décision d’effectuer un Selon le résultat, prendre la décision d’effectuer un changement ou non, urgent ou nonchangement ou non, urgent ou non

Base des correctifs mssecure.xmlBase des correctifs mssecure.xml

Contient la liste des Contient la liste des correctifs de sécuritécorrectifs de sécurité

Contient la description des Contient la description des fichiers (chemin, version, fichiers (chemin, version, checksum), des clés de checksum), des clés de registre de ces correctifsregistre de ces correctifs

Mssecure.xml est mis à Mssecure.xml est mis à jour à chaque nouveau jour à chaque nouveau correctif de sécurité (et correctif de sécurité (et tient compte des correctifs tient compte des correctifs cumulatifs remplaçant les cumulatifs remplaçant les correctifs précédents)correctifs précédents)

Les fichiers .XML sont Les fichiers .XML sont supportés à partir de IE 5.0supportés à partir de IE 5.0

MS Baseline Security Analyser MS Baseline Security Analyser (MBSA)(MBSA)

Détecte les erreurs de configuration de Détecte les erreurs de configuration de sécurité les plus courantes et les correctifs sécurité les plus courantes et les correctifs et et Service PacksService Packs manquants (en s’appuyant manquants (en s’appuyant sur les fonctions de hfnetchk 3.82)sur les fonctions de hfnetchk 3.82)

Note globale de la machineNote globale de la machine

Score de réussite/échec par vérification Score de réussite/échec par vérification effectuéeeffectuée

Instructions pour corriger les vulnérabilités Instructions pour corriger les vulnérabilités trouvéestrouvées

Fonctionnement pour la Fonctionnement pour la recherche de correctifs recherche de correctifs manquantsmanquants

Importe la liste des correctifs de sécurité (base Importe la liste des correctifs de sécurité (base XML)XML)

Compressée : Compressée : http://download.microsoft.com/download/xml/security/1.0/NT5/EN-US/http://download.microsoft.com/download/xml/security/1.0/NT5/EN-US/mssecure.cab mssecure.cab

Brute : (http://www.microsoft.com/technet/security/search/mssecure.xml)Brute : (http://www.microsoft.com/technet/security/search/mssecure.xml)

Vérifie que les clés de registre ont été installéesVérifie que les clés de registre ont été installées

Vérifie pour chaque correctif que tous les fichiers Vérifie pour chaque correctif que tous les fichiers sont présentssont présents

Vérifie le numéro de version de chaque fichier et Vérifie le numéro de version de chaque fichier et les les checksums checksums (pour les versions anglaises (pour les versions anglaises seulement)seulement)

MBSAMBSAWindows NT 4.0, Windows 2000, Windows Windows NT 4.0, Windows 2000, Windows XP, Windows Server 2003XP, Windows Server 2003

Internet Information Server (IIS) 4.0, 5.0 et Internet Information Server (IIS) 4.0, 5.0 et 6.06.0

SQL 7 & SQL 2000 (y compris MSDE)SQL 7 & SQL 2000 (y compris MSDE)

Internet Explorer 5.01+Internet Explorer 5.01+

Windows Media PlayerWindows Media Player

Exchange 5.5 et Exchange 2000Exchange 5.5 et Exchange 2000

BureautiqueBureautiqueOffice 2000 et XPOffice 2000 et XP

OutlookOutlook

MBSAMBSAOutil en ligne de commande (mbsacli.exe) ou Outil en ligne de commande (mbsacli.exe) ou graphiquegraphique

Outil en « lecture seule » (pas de modification de Outil en « lecture seule » (pas de modification de la configuration des machines scannées)la configuration des machines scannées)

Un rapport XML par analyseUn rapport XML par analyse

Disponible en version 1.1.1 depuis le 4 juin 2003 Disponible en version 1.1.1 depuis le 4 juin 2003 sur sur http://www.microsoft.com/technet/security/tools/Tohttp://www.microsoft.com/technet/security/tools/Tools/MBSAhome.aspols/MBSAhome.asphttp://www.microsoft.com/france/technet/themes/http://www.microsoft.com/france/technet/themes/secur/info/mbsa.html secur/info/mbsa.html

mbsacli.exe –hf a remplacé hfnetchkmbsacli.exe –hf a remplacé hfnetchk

MBSAMBSA

MBSAMBSA

Utilisation de MBSAUtilisation de MBSAVoir mbsacli.exe /? et mbsacli.exe –hf /?

Multiples options :noms de machines,

gamme d’adresses IP,

domaine,

nombre de threads,

base XML utilisée,

compte+mot de passe,

checksums,

…

MBSA prérequisMBSA prérequis

Fichiers communs IIS (sur la machine exécutant Fichiers communs IIS (sur la machine exécutant MBSA pour scanner les machines IIS distantes)MBSA pour scanner les machines IIS distantes)

Ports du pare-feuPorts du pare-feu

Port 80 (HTTP)Port 80 (HTTP)Pour télécharger le fichier mssecure.xmlPour télécharger le fichier mssecure.xml

TCP 139, 445TCP 139, 445Pour le scan de machines distantesPour le scan de machines distantes

L’utilisateur qui exécute MBSA doit avoir les L’utilisateur qui exécute MBSA doit avoir les privilèges d’administrateur local de la machine privilèges d’administrateur local de la machine scannéescannée

HistorisationHistorisation

2 scripts disponibles 2 scripts disponibles dans Securing dans Securing Windows 2000 :Windows 2000 :

MBSAPatchCheck.cmdMBSAPatchCheck.cmdMBSA exécuté avec /hf, -fh et –fMBSA exécuté avec /hf, -fh et –f

Lance le script movelog.vbsLance le script movelog.vbs

Movelog.vbsMovelog.vbsCrée un dossier avec la dateCrée un dossier avec la date

Déplace le résultat dans le dossierDéplace le résultat dans le dossier

Interprétation des résultatsInterprétation des résultats

La présence de certains correctifs ne peut La présence de certains correctifs ne peut être confirmée :être confirmée :

Evaluation trop difficile sans risque d’erreurEvaluation trop difficile sans risque d’erreur

La correction se réfère à un contournement – La correction se réfère à un contournement – pas de fichiers impliquéspas de fichiers impliqués

Même principe que les « Notes » de Même principe que les « Notes » de hfnetchk :hfnetchk :Q306460 - hfnetchk.exe Returns NOTE Q306460 - hfnetchk.exe Returns NOTE Messages for Installed PatchesMessages for Installed Patches

QChainQChain

Outil de commande qui permet de Outil de commande qui permet de « chaîner » l’installation de correctifs« chaîner » l’installation de correctifs

Limite l’indisponibilité des serveurs (un Limite l’indisponibilité des serveurs (un seul redémarrage)seul redémarrage)

Permet une installation simple et rapide Permet une installation simple et rapide de plusieurs correctifs simultanémentde plusieurs correctifs simultanément

Fonctionne avec NT4, Windows 2000 pre-Fonctionne avec NT4, Windows 2000 pre-SP3SP3

QChainQChain

Lors de l’installation d’un correctif (NT4 / W2K)Lors de l’installation d’un correctif (NT4 / W2K)

Les fichiers qui sont « verrouillés » sont placés en file Les fichiers qui sont « verrouillés » sont placés en file d’attente. Ils seront installés après le rebootd’attente. Ils seront installés après le reboot

Il est donc déconseillé d’installer plusieurs correctifs Il est donc déconseillé d’installer plusieurs correctifs sans redémarrage car certains fichiers de la file sans redémarrage car certains fichiers de la file d’attente peuvent être écrasésd’attente peuvent être écrasés

Si vous avez déjà installé des correctifs sans Si vous avez déjà installé des correctifs sans redémarrage vous pouvez utiliser l’outil Qfecheck.exe redémarrage vous pouvez utiliser l’outil Qfecheck.exe pour vérifier que l’installation s’est bien passée (s’il s’agit pour vérifier que l’installation s’est bien passée (s’il s’agit de correctifs de sécurité, mbsacli est suffisant). de correctifs de sécurité, mbsacli est suffisant).

QChain nettoie la file d’attente et s’assure que seules QChain nettoie la file d’attente et s’assure que seules les dernières versions seront installéesles dernières versions seront installées

Qchain et les versions récentesQchain et les versions récentesInutile pour Windows XP, Windows 2000 Inutile pour Windows XP, Windows 2000 SP3 et Windows Server 2003 qui incluent SP3 et Windows Server 2003 qui incluent déjà un mécanisme de gestion des versions déjà un mécanisme de gestion des versions de mises à jour simultanéesde mises à jour simultanéeshttp://support.microsoft.com/support/kb/articles/Q296/8/61.http://support.microsoft.com/support/kb/articles/Q296/8/61.aspasp

Installation de correctifsInstallation de correctifsen mode batchen mode batch

Il est possible de scripter l’installation des Il est possible de scripter l’installation des correctifscorrectifs

@echo offsetlocalset PATHTOFIXES=some path

%PATHTOFIXES%\Q123456_w2k_sp2_x86.exe -z -m%PATHTOFIXES%\Q123321_w2k_sp2_x86.exe -z -m%PATHTOFIXES%\Q123789_w2k_sp2_x86.exe -z -m%PATHTOFIXES%\qchain.exe journal.logshutdown.exe –t 15 -f

QChain se trouve à cette adresse :QChain se trouve à cette adresse : http://www.microsoft.com/downloads/details.aspx?http://www.microsoft.com/downloads/details.aspx?displaylang=en&FamilyID=A85C9CFA-E84C-4723-9C28-displaylang=en&FamilyID=A85C9CFA-E84C-4723-9C28-F66859060F5D F66859060F5D

Gestion des correctifs etGestion des correctifs etdistribution de logicielsdistribution de logicielsGrand public et petites entreprises :Grand public et petites entreprises :Windows UpdateWindows Update

Initialisé par l’utilisateur ou Mise à jourInitialisé par l’utilisateur ou Mise à jourautomatiqueautomatiqueAccès à toutes les mises à jour disponiblesAccès à toutes les mises à jour disponiblesDéploiement depuis Microsoft.comDéploiement depuis Microsoft.com

Moyennes entreprises :Moyennes entreprises :Software Update Services (SUS)Software Update Services (SUS)

Votre Windows Update derrière votre pare-feuVotre Windows Update derrière votre pare-feuContrôle administratif de l’approbationContrôle administratif de l’approbationCorrectifs de sécurité : approuvé c’est déployéCorrectifs de sécurité : approuvé c’est déployéWindows 2000 et Windows XP seulementWindows 2000 et Windows XP seulement

Entreprises:Entreprises:SMS et le SMS Software Update SMS et le SMS Software Update Services Feature PackServices Feature Pack

Déjà conçu pour les grandes entreprisesDéjà conçu pour les grandes entreprisesPermet un meilleur contrôle d’un plus grand Permet un meilleur contrôle d’un plus grand nombre de vos plateformes et des contenus nombre de vos plateformes et des contenus Solution complète (Inventaire + distribution de Solution complète (Inventaire + distribution de logiciels)logiciels)

Client Client Automatic UpdateAutomatic Update

InternetInternet

intranetintranet

Mises à jour Mises à jour critiques critiques Windows Windows 2000/XP2000/XP

Notification / Notification / Téléchargement et Téléchargement et installation des installation des mises à jourmises à jour

Recherche de Recherche de nouvelles mises nouvelles mises à jourà jour

Serveurs, postes de travail et Serveurs, postes de travail et portables avec le client portables avec le client Automatic UpdatesAutomatic Updates

WindowsUpdateWindowsUpdate

Client Automatic UpdateClient Automatic Update

Notification des mises à Notification des mises à jours (uniquement pour les jours (uniquement pour les administrateurs)administrateurs)

Utilisation de BITS Utilisation de BITS (Background Intelligent (Background Intelligent Transfert Service) pour Transfert Service) pour optimiser la bande optimiser la bande passantepassante

Les correctifs sont signés Les correctifs sont signés par Microsoftpar Microsoft

Un seul redémarrage pour Un seul redémarrage pour toutes les mises à jourtoutes les mises à jour

Software Update Services (SUS)Software Update Services (SUS)

Un des nouveaux outils de sécurisation de la Un des nouveaux outils de sécurisation de la plateforme Microsoft fourni dans le cadre du plateforme Microsoft fourni dans le cadre du programme de sécurité STPP / programme de sécurité STPP / Stay SecureStay Secure

Conçu pour simplifier le maintien à jour de Conçu pour simplifier le maintien à jour de systèmes Windows (serveurs et stations) par systèmes Windows (serveurs et stations) par rapport aux dernières mises à jour critiquesrapport aux dernières mises à jour critiques

Fonctionne en conjonction avec Fonctionne en conjonction avec Automatic Updates Automatic Updates (dispo en 24 langues)(dispo en 24 langues)

Support des mises à jour critiques de Windows XP, Support des mises à jour critiques de Windows XP, Windows 2000 dans toutes les languesWindows 2000 dans toutes les langues

Interface Web pour l’administrateur en anglais Interface Web pour l’administrateur en anglais seulementseulement

Architecture SUSArchitecture SUS

InternetInternet

intranetintranet

Mises à jour de sécurité pour Windows, Mises à jour de sécurité pour Windows, publiés par Microsoft pour SUSpubliés par Microsoft pour SUS

2/ Approbation des mises à jour par 2/ Approbation des mises à jour par l’Administrateur via une interface Webl’Administrateur via une interface Web

1/ Synchronisation1/ Synchronisation

3/ Téléchargement 3/ Téléchargement & installation des & installation des mises à jour mises à jour approuvéesapprouvées

Config. Config. Centralisée Centralisée des clientsdes clients


Serveurs, postes de travail et Serveurs, postes de travail et portables avec le client portables avec le client Automatic UpdatesAutomatic Updates

SUSSUS

Serveur SUSServeur SUSAdministrationAdministration

Adresse HTTP : Adresse HTTP : http://Monserveur/SUSAdminhttp://Monserveur/SUSAdmin

Administration nécessite d’être Administration nécessite d’être administrateur localadministrateur local

Administration possible en Administration possible en HTTPS/SSL (Q326312)HTTPS/SSL (Q326312)

Uniquement pour le site Uniquement pour le site susadmin. Si la racine, /content, susadmin. Si la racine, /content, ou /selfupdate sont configurées ou /selfupdate sont configurées pour utiliser SSL, le client AU ne pour utiliser SSL, le client AU ne pourra pas détecter les mises à pourra pas détecter les mises à jour sur le serveur SUS (il ne peut jour sur le serveur SUS (il ne peut utiliser que le port 80).utiliser que le port 80).

SUS supporte NLBSUS supporte NLB

Administration depuis un poste Administration depuis un poste utilisant Internet Explorer 5.5 ou utilisant Internet Explorer 5.5 ou plusplus


OptionsOptions

Téléchargement de la liste des correctifs (et Téléchargement de la liste des correctifs (et téléchargement depuis Windows Update par les téléchargement depuis Windows Update par les clients) ou copie en local des correctifs clients) ou copie en local des correctifs (obligatoire si proxy avec authentification non (obligatoire si proxy avec authentification non Windows)Windows)

Définition d’un proxy & authentificationDéfinition d’un proxy & authentification

Synchronisation depuis Windows Update ou Synchronisation depuis Windows Update ou d’un autre serveur SUSd’un autre serveur SUS

Choix des languesChoix des langues


Synchronize ServerSynchronize ServerSynchro manuelle ou planifiée (utilise les ports Synchro manuelle ou planifiée (utilise les ports 80 HTTP et 443 SSL)80 HTTP et 443 SSL)

ProcessusProcessusTéléchargement du fichier de meta-données (dont Téléchargement du fichier de meta-données (dont AUCatalog.cab/ AUCatalog1.cab)AUCatalog.cab/ AUCatalog1.cab)

Validation de la signatureValidation de la signature

Comparaison du fichier de meta-données pour Comparaison du fichier de meta-données pour déterminer les nouvelles mises à jourdéterminer les nouvelles mises à jour

Téléchargement des nouvelles mises à jour et Téléchargement des nouvelles mises à jour et vérification de leurs signaturesvérification de leurs signatures

Si la synchronisation planifiée ne fonctionne pas, SUS Si la synchronisation planifiée ne fonctionne pas, SUS retentera la synchronisation 3 fois avec un intervalle retentera la synchronisation 3 fois avec un intervalle de temps de 30 minutesde temps de 30 minutes


Approve UpdatesApprove UpdatesStatusStatus

New : nouvelle mise à jour récemment téléchargéeNew : nouvelle mise à jour récemment téléchargée

Approved : mise à jour approuvée et disponibleApproved : mise à jour approuvée et disponible

Not approved : mise à jour non approuvée, et donc non Not approved : mise à jour non approuvée, et donc non disponible pour les postes « clients »disponible pour les postes « clients »

Updated : nouvelle version d’une mise à jour, téléchargée Updated : nouvelle version d’une mise à jour, téléchargée lors d’une synchronisation récentelors d’une synchronisation récente

Temporary unavailableTemporary unavailableCorrectif associé introuvableCorrectif associé introuvable

Dépendance manquanteDépendance manquante

Seulement si stockage en localSeulement si stockage en local

NB :NB : une mise à jour que l’on passe en « non une mise à jour que l’on passe en « non approved » ne sera pas désinstallée par le client approved » ne sera pas désinstallée par le client AutoUpdateAutoUpdate


Monitor ServerMonitor Server

Permet de voir toutes les mises à jour Permet de voir toutes les mises à jour disponibles sur le serveurdisponibles sur le serveur

Permet de faire l’inventaire des mises à jour par Permet de faire l’inventaire des mises à jour par plateforme, dates, …plateforme, dates, …

Cette information est remise a jour à chaque Cette information est remise a jour à chaque synchronisation synchronisation

Client AutoUpdateClient AutoUpdateParamétrageParamétrage

Par exemple avec les Par exemple avec les stratégies de groupe stratégies de groupe (GPO)(GPO)

Utilisation du fichier Utilisation du fichier WUAU.ADM installé dans WUAU.ADM installé dans le répertoire %WINDIR%\le répertoire %WINDIR%\INFINF

Le fichier INF est ajouté Le fichier INF est ajouté par:par:

Le client AULe client AU

Les service packs Les service packs incluant le client AUincluant le client AU

Le serveur SUSLe serveur SUS


Comportement face au Comportement face au serveur de mise à jourserveur de mise à jour

3 options de configuration :3 options de configuration :

Notification pour le Notification pour le téléchargement et téléchargement et l’installationl’installation

Téléchargement Téléchargement automatique et notification automatique et notification pour l’installation pour l’installation (Serveurs)(Serveurs)

Téléchargement Téléchargement automatique et planification automatique et planification pour l’installation (Stations)pour l’installation (Stations)


Préciser s’il s’agit d’un Préciser s’il s’agit d’un serveur SUS et quelle est son serveur SUS et quelle est son adresseadresse

2 options de configuration : 2 options de configuration :

Sélection du serveur de Sélection du serveur de distributiondistribution

Par défaut InternetPar défaut Internet

Sélection du serveur de Sélection du serveur de statistiquesstatistiques

Un même serveur physique Un même serveur physique peut supporter ces 2 fonctions.peut supporter ces 2 fonctions.

Client AutoUpdateClient AutoUpdateFonctionnementFonctionnement

Améliorations du Service Pack 1Améliorations du Service Pack 1Installation possible sur un contrôleur de domaineInstallation possible sur un contrôleur de domaine

Meilleure intégration avec IIS LockdownMeilleure intégration avec IIS Lockdown

Liens Details des mises à jourLiens Details des mises à jour

RescheduledWaitTimeRescheduledWaitTime

Positionne la nouvelle date de planification d’installation au Positionne la nouvelle date de planification d’installation au redémarrage+redémarrage+RescheduleWaitTime RescheduleWaitTime (en minutes <> 0)(en minutes <> 0)

NoAutoRebootWithLoggedOnUsersNoAutoRebootWithLoggedOnUsers

Notification de redémarrage pour tous les utilisateurs Notification de redémarrage pour tous les utilisateurs qui ouvrent une session pendant l’attente d’un qui ouvrent une session pendant l’attente d’un redémarrageredémarrage

InternetInternet intranetintranet

SynchronisationSynchronisation SynchronisationSynchronisation

Clients Clients AutoUpdateAutoUpdate

Windows 2000/XPWindows 2000/XP Pour validationPour validation


Windows 2000/XPWindows 2000/XP ProductionProduction

Configuration possible du Client pour Configuration possible du Client pour téléchargement et installation automatiques téléchargement et installation automatiques des mises à jourdes mises à jour

ProxyProxy

Pare-

feu

Pare-

feu

Architecture avancéeArchitecture avancée


Serveur de distributionServeur de distribution

SUS ProdSUS Prod SUS LabSUS Lab

Architectures avancéesArchitectures avancées

InternetInternet intranetintranet

Le contenu peut être Le contenu peut être synchronisé depuis synchronisé depuis

WindowsWindows Update ou Update ou un serveur localun serveur local

SynchroSynchro

ContenuContenu

HTTPHTTP

ProxyProxy

ProxyProxy

Le Client peut être configuré Le Client peut être configuré pour récupérer depuis le site de pour récupérer depuis le site de Microsoft les mises à jour Microsoft les mises à jour approuvéesapprouvées

Pare-

feu

Pare-

feu


Serveur de distributionServeur de distribution

Configuration possible Configuration possible du Client pour du Client pour téléchargement et téléchargement et installation automatiques installation automatiques des mises à jourdes mises à jour

SynchroSynchro

ContenuContenu & & liste des liste des Mises à jour Mises à jour approuvéesapprouvées

SUSSUS SUSSUS


Windows 2000/XPWindows 2000/XP


Windows 2000/XPWindows 2000/XP

SUS Feature Pack de SMSSUS Feature Pack de SMS

Offre les outils suivantsOffre les outils suivants

Security Update Inventory Tool Security Update Inventory Tool

Microsoft Office Inventory Tool for UpdatesMicrosoft Office Inventory Tool for Updates

Distribute Software Updates WizardDistribute Software Updates Wizard

Web Report Add-ins for Software UpdatesWeb Report Add-ins for Software Updates

Elevated-rights Deployment ToolElevated-rights Deployment Tool

Security Update Inventory Tool Security Update Inventory Tool

Distribution de l’outil de scan sur les clientsDistribution de l’outil de scan sur les clients

Connexion sur l’hôte de synchronisationConnexion sur l’hôte de synchronisation

Distribution de l’outil s_scan.exeDistribution de l’outil s_scan.exe

Statut sur l’état du système du client par rapport Statut sur l’état du système du client par rapport au Software Update Inventoryau Software Update Inventory

Création, puis mise à jour de la classe Création, puis mise à jour de la classe d’inventaire « Software Updates»d’inventaire « Software Updates»

Préparation du client pour l’utilisation du Préparation du client pour l’utilisation du Distribute Software Updates Wizard Distribute Software Updates Wizard

Security Update Inventory ToolSecurity Update Inventory Tool

Système Système de Sitede Site

S_scan.exeS_scan.exe

Report Software Update on InventoryReport Software Update on Inventory CLIENTSCLIENTS

Téléchargement Téléchargement de l’utilitaire de de l’utilitaire de

scanscan

S_scan.exeS_scan.exe

Mise à jour du Mise à jour du répertoire des répertoire des correctifs de correctifs de

sécuritésécurité

Point de Point de DistributionDistribution

SyncXML.exeSyncXML.exe

MS WEBMS WEB

11

22 22

33

44

55

Security Update Inventory ToolSecurity Update Inventory Tool

Office Inventory Tool for Updates Office Inventory Tool for Updates

Objectif: Automatiser le scan et l’inventaire sur les Objectif: Automatiser le scan et l’inventaire sur les derniers bulletins de sécurité Office à partir des derniers bulletins de sécurité Office à partir des informations du site Web Microsoftinformations du site Web Microsoft

Wizard Wizard Télécharge le Office Update Inventory Tool Télécharge le Office Update Inventory Tool

Crée les lots, regroupements, programmes, publicationsCrée les lots, regroupements, programmes, publications

Résultat: Un nouvelle classe « Software Updates » est Résultat: Un nouvelle classe « Software Updates » est incluse dans l’inventaire matériel qui fournit des incluse dans l’inventaire matériel qui fournit des informations de type « Office » en relation avec les informations de type « Office » en relation avec les bulletins de sécurité bulletins de sécurité

Intégration avec le Web ReportingIntégration avec le Web Reporting

Distribute Software Updates Distribute Software Updates WizardWizard

Pré requis : La classe d’inventaire Pré requis : La classe d’inventaire « Software Updates » doit exister « Software Updates » doit exister

Objectif: Analyser et déployer les Objectif: Analyser et déployer les correctifs manquants sur les clientscorrectifs manquants sur les clients

Wizard :Wizard :Trouve les correctifs manquants, choisit les Trouve les correctifs manquants, choisit les patches patches

Télécharge les correctifs depuis le centre de Télécharge les correctifs depuis le centre de téléchargement de Microsofttéléchargement de Microsoft

Crée les objets package, advertisement, Crée les objets package, advertisement, program, collection – nécessairesprogram, collection – nécessaires

Distribute Software Updates Distribute Software Updates WizardWizard

Centre de Centre de Téléchargement / Téléchargement / Office Update, etc.Office Update, etc.

InternetInternet

IntranetIntranet

SMS 2.x SMS 2.x Site Infra-Site Infra-structurestructure

MMC / Patch Wizard, MMC / Patch Wizard, Status Messages / Status Messages / InventoryInventory

Install Applicable PatchesInstall Applicable Patches

Scan Tool + Inventory CollectionScan Tool + Inventory Collection

Correctifs, QFEs, etc.Correctifs, QFEs, etc.

CLIENTSCLIENTS

Packages, programs, Packages, programs, collections, & offers built by collections, & offers built by WizardWizard

Patch WizardPatch Wizard



Web Report Add-ins for Web Report Add-ins for Software UpdatesSoftware Updates

Ajoute un nouveau module dans la Ajoute un nouveau module dans la console Web pour reporter les correctifs console Web pour reporter les correctifs des clients.des clients.

Permet d’obtenir depuis un navigateur Permet d’obtenir depuis un navigateur Internet toutes les informations Internet toutes les informations d’inventaires des clientsd’inventaires des clients

Vues par :Vues par :

Correctifs individuelsCorrectifs individuels

MachinesMachines

Groupes de machinesGroupes de machines

Web Report Add-ins for Software Web Report Add-ins for Software UpdatesUpdates

Web Report Add-ins for Software Web Report Add-ins for Software UpdatesUpdates

MSUSMSUS SMS + SUS SMS + SUS Feature PackFeature Pack

Correctifs de sécurité et critiques de Correctifs de sécurité et critiques de Windows + Internet ExplorerWindows + Internet Explorer

XX XX

Correctifs OfficeCorrectifs Office XXService PacksService Packs XX

(depuis septembre 2003)(depuis septembre 2003)

XX

Mises à jour serveurs (SQL Server,…)Mises à jour serveurs (SQL Server,…) X X (utilise MBSA)(utilise MBSA)

Windows NT 4.0 / Windows 9xWindows NT 4.0 / Windows 9x XXApplications, correctifs recommandésApplications, correctifs recommandés XXPousser les mises à jour, planification Pousser les mises à jour, planification détailléedétaillée

XX

Ciblage et rapports détaillésCiblage et rapports détaillés (log IIS, ciblage par serveur)(log IIS, ciblage par serveur) XX(Web Reports)(Web Reports)

Composant gratuit?Composant gratuit? XX XX(SMS requis)(SMS requis)

Comparaison SUS – SUS FP de SMSComparaison SUS – SUS FP de SMS

Nouvelles initiatives dans la Nouvelles initiatives dans la continuité des efforts déjà continuité des efforts déjà entreprisentrepris

Prolifération des correctifsProlifération des correctifs

Temps avant exploitation en Temps avant exploitation en baissebaisse

Exploitations plusExploitations plussophistiquéesophistiquée

L’approche actuelle n’est pas L’approche actuelle n’est pas suffisantesuffisante

La sécurité est notre priorité n°1La sécurité est notre priorité n°1Il n’y a pas de remède miracleIl n’y a pas de remède miracle

Le changement nécessité des innovationsLe changement nécessité des innovations

151151180180

331331

Blaster

Blaster

Welchia/ Nachi

Welchia/ Nachi

NimdaNimda

2525

SQL Slammer

SQL Slammer

Nombre de jours Nombre de jours entre le correctif et entre le correctif et

l’exploitationl’exploitation

Constats complémentairesConstats complémentaires

Réponses pour améliorer la Réponses pour améliorer la sécuritésécurité

Faire tendre vers 0 le nombre de Faire tendre vers 0 le nombre de vulnérabilitésvulnérabilités

Améliorer la gestion des correctifs de Améliorer la gestion des correctifs de sécuritésécurité

Diminuer la vulnérabilité résultante, sans Diminuer la vulnérabilité résultante, sans application de correctifapplication de correctif

Fournir des guides et formationsFournir des guides et formations

Sensibiliser les utilisateursSensibiliser les utilisateurs

Documentations sécurisationDocumentations sécurisation Communauté sécurité (relations avec Communauté sécurité (relations avec

l’industrie, divulgation responsable)l’industrie, divulgation responsable) Microsoft Security Response Center Microsoft Security Response Center

SDSD33 + C + CSecure by DesignSecure by DesignSécurisé Dès la Sécurisé Dès la conceptionconception

Secure by DefaultSecure by Default Sécurisé par DéfautSécurisé par Défaut

Secure in Secure in DeploymentDeploymentSécurisé une fois DéployéSécurisé une fois Déployé

CommunicationsCommunications

Architecture sécuriséeArchitecture sécurisée Fonctionnalités sécuriséesFonctionnalités sécurisées Réduction des vulnérabilités du codeRéduction des vulnérabilités du code

Réduction de la surface d’attaqueRéduction de la surface d’attaque Fonctionnalités non utilisées désactivées par Fonctionnalités non utilisées désactivées par

défautdéfaut Principe du moindre privilègePrincipe du moindre privilège Protéger, Détecter, Défendre, Récupérer, Protéger, Détecter, Défendre, Récupérer,

GérerGérer Processus :Guides d’architecture, Processus :Guides d’architecture, how to’show to’s Personnes: FormationPersonnes: Formation Amélioration de la qualité des correctifs. Amélioration de la qualité des correctifs.

Cohérence dans les moyens d’installation.Cohérence dans les moyens d’installation.

Windows Server 2003Windows Server 2003Le premier produit Microsoft à appliquer la nouvelle philosophie en Le premier produit Microsoft à appliquer la nouvelle philosophie en matière de sécuritématière de sécurité

Surface d’attaque réduite de 60% par rapport à NT4Surface d’attaque réduite de 60% par rapport à NT4

Plus de 20 composants désactivés ou renforcés dans l’installation par Plus de 20 composants désactivés ou renforcés dans l’installation par défaut (dont IIS 6, IE 6, …)défaut (dont IIS 6, IE 6, …)

Nouveaux comptes avec des niveaux de privilège moins élevésNouveaux comptes avec des niveaux de privilège moins élevés

Intégration des derniers standards en matière de sécurité réseau (802.1x, Intégration des derniers standards en matière de sécurité réseau (802.1x, PEAP,WPA pour les réseaux sans fils WiFi…)PEAP,WPA pour les réseaux sans fils WiFi…)

IIS complètement ré-architecturé : non installé par défaut. Verrouillé à IIS complètement ré-architecturé : non installé par défaut. Verrouillé à l’installation (fichiers statiques; assitant de sécurité obligatoire)l’installation (fichiers statiques; assitant de sécurité obligatoire)

Environnement applicatif .NET intégréEnvironnement applicatif .NET intégréSignature de code, preuves, notion de rôles pour les autorisationsSignature de code, preuves, notion de rôles pour les autorisations

Partages en lecture seulePartages en lecture seule« Tout le monde » n’inclut plus les utilisateurs anonymes« Tout le monde » n’inclut plus les utilisateurs anonymes

Ordre de recherche de DLL commence par Ordre de recherche de DLL commence par system32 par défautsystem32 par défautEt d’autres : PKI, RADIUS, quarantaine, audit de sécurité détaillé, carte à Et d’autres : PKI, RADIUS, quarantaine, audit de sécurité détaillé, carte à puce, EFS (AES 256 par défaut), parefeu, permissions effectives, puce, EFS (AES 256 par défaut), parefeu, permissions effectives, délégation, Ipsec, approbation inter-forêt, chiffrement AES, chemin DLL, délégation, Ipsec, approbation inter-forêt, chiffrement AES, chemin DLL, limitation des accès anonymes, protection contre mots de passe vide limitation des accès anonymes, protection contre mots de passe vide (console seulement), stratégies de restriction logicielle…(console seulement), stratégies de restriction logicielle…Documentation !Documentation !

Continuer à améliorer la qualitéContinuer à améliorer la qualitéProcessus de sortie Trustworthy ComputingProcessus de sortie Trustworthy Computing

M1

M2

Mn

Beta

ConceptionD

ével

op

pem

ent

Sortie

Support

Revuede

sécurité

Revuede

sécurité

Chaque équipe développe une modélisation Chaque équipe développe une modélisation des menaces de son composant afin de des menaces de son composant afin de s’assurer que la conception bloque les s’assurer que la conception bloque les menaces applicablesmenaces applicables

Dév’&

test

Dév’&

test

Application des standards de codage et de conception de Application des standards de codage et de conception de sécuritésécurité

Outils pour éliminer les erreurs du code (PREfix & Outils pour éliminer les erreurs du code (PREfix & PREfast)PREfast)

Surveillance et blocage des nouvelles techniques Surveillance et blocage des nouvelles techniques d’attaqued’attaque

Security Push

Security Push

Focalisation de toute l’équipe*Focalisation de toute l’équipe*

Mise à jour de la modélisation des menaces, Mise à jour de la modélisation des menaces, revue de code, passage au crible des tests et revue de code, passage au crible des tests et de la documentationde la documentation

Auditde

sécurité

Auditde

sécurité

Analyse vis à vis des menaces courantesAnalyse vis à vis des menaces courantes

Tests de pénétration par des équipes internes Tests de pénétration par des équipes internes et de 3rces partieset de 3rces parties

Security ResponseSecurity

Response

Correction des problèmes nouvellement Correction des problèmes nouvellement découvertsdécouverts

Analyse des causes pour trouver et corriger de Analyse des causes pour trouver et corriger de manière proactive les vulnérabilités associéesmanière proactive les vulnérabilités associées

Docs de conception & spécifications

Développementtest et

documentation

Produit

Service Packs,

correctifs

33 44

……90 jours90 jours ……150 jours150 jours

Vulnérabilités importantes ou critiques dans les Vulnérabilités importantes ou critiques dans les premiers…premiers…

99 1717

SortieSortieTwC?TwC?

OuiOui

NonNon

Produits existants et largement répandus:Produits existants et largement répandus:

Obligatoire pour tous les nouveaux produits:Obligatoire pour tous les nouveaux produits:

Bulletins Bulletins depuis la depuis la

sortiesortieTwCTwC

Distribué en Janvier 2003, il y a 9 moisDistribué en Janvier 2003, il y a 9 mois

11

Service Pack 3Service Pack 3

Bulletins Bulletins durant la durant la période période

précédenprécédentete

1010

Bulletins Bulletins depuis la depuis la

sortiesortieTwCTwC

Distribué en Juillet 2002, il y a 15 moisDistribué en Juillet 2002, il y a 15 mois

00Bulletins Bulletins durant la durant la période période

précédenprécédentete

55 Service Pack 3Service Pack 3

Continuer à améliorer la qualitéContinuer à améliorer la qualitéContinuer à améliorer la qualitéContinuer à améliorer la qualité

Au 9 octobre

Améliorer la gestion des correctifs Améliorer la gestion des correctifs

Nouvelles stratégiesNouvelles stratégiesExtension du support sécurité à juin 2004Extension du support sécurité à juin 2004Windows 2000 SP2Windows 2000 SP2

Windows NT4 Workstation SP6aWindows NT4 Workstation SP6a

Publication mensuelle des correctifs de sécurité Publication mensuelle des correctifs de sécurité non urgentsnon urgents

Permet de planifier un cycle de Permet de planifier un cycle de test / déploiement de manière test / déploiement de manière prévisibleprévisible

Fournis sous forme de correctifs Fournis sous forme de correctifs individuels qui peuvent être individuels qui peuvent être déployés ensembledéployés ensemble

Les correctifs de sécurité pour les problèmes urgents Les correctifs de sécurité pour les problèmes urgents

seront toujours publiés immédiatementseront toujours publiés immédiatement

D’ici à mai 2004 : consolidation autour de 2 installateurs de correctifs D’ici à mai 2004 : consolidation autour de 2 installateurs de correctifs pour Windows 2000 et ultérieur, SQL, Office & Exchange. pour Windows 2000 et ultérieur, SQL, Office & Exchange. Comportement cohérent entre tous les correctifs Comportement cohérent entre tous les correctifs (SUS 2.0, MSI 3.0)(SUS 2.0, MSI 3.0)

Étendre Étendre l’automatisation à l’automatisation à tous les produitstous les produits

3 nov.: SMS 2003 offrira la capacité de déployer les correctifs pour toutes 3 nov.: SMS 2003 offrira la capacité de déployer les correctifs pour toutes les plateformes et applications supportéesles plateformes et applications supportées

D’ici à fin 2004, tous les correctifs Microsoft auront le même D’ici à fin 2004, tous les correctifs Microsoft auront le même comportement pour l’installation (MSI 3.0 + SUS 2.0) et seront disponibles comportement pour l’installation (MSI 3.0 + SUS 2.0) et seront disponibles à un seul endroit : Microsoft Updateà un seul endroit : Microsoft Update

Réduire la taille des Réduire la taille des correctifscorrectifs

Maintenant : réduction de la taille des correctifs de 35% ou plus. D’ici Maintenant : réduction de la taille des correctifs de 35% ou plus. D’ici à mai 2004 : 80% de réduction à mai 2004 : 80% de réduction (technologie de correction par delta - (technologie de correction par delta - delta delta patching – patching – et amélioration des fonctionnalités avec MSI 3.0)et amélioration des fonctionnalités avec MSI 3.0)

Réduire la Réduire la complexité des complexité des

correctifscorrectifs

Réduire le risque Réduire le risque de déploiement de déploiement d’un correctifd’un correctif

Maintenant : test interne accru; test des pré-versions de correctifs Maintenant : test interne accru; test des pré-versions de correctifs par des clients.par des clients.

D’ici à mai 2004: possibilité de retour arrière pour Windows, SQL, D’ici à mai 2004: possibilité de retour arrière pour Windows, SQL, Exchange, OfficeExchange, Office

Réduire Réduire l’indisponibilitél’indisponibilité

Maintenant : 10% de réduction des redémarrages pour Windows 2000 Maintenant : 10% de réduction des redémarrages pour Windows 2000 et +et +D’ici à mai 2004 : 30% de redémarrages en moins pour Windows D’ici à mai 2004 : 30% de redémarrages en moins pour Windows Server 20003 (à partir du SP1). Jusqu’à 70% de réduction pour le Server 20003 (à partir du SP1). Jusqu’à 70% de réduction pour le prochain serveurprochain serveur

Votre besoinVotre besoin Notre réponseNotre réponse

Améliorer la gestion des correctifsAméliorer la gestion des correctifs

Rendre les logiciels plus Rendre les logiciels plus résistants aux attaques, même résistants aux attaques, même quand les correctifs ne sont pas quand les correctifs ne sont pas

(encore) installés(encore) installés

Aider à arrêter l’exploitation des Aider à arrêter l’exploitation des vulnérabilités connues et inconnuesvulnérabilités connues et inconnues

Objectif : rendre 7 correctifs sur 10 Objectif : rendre 7 correctifs sur 10 installables à votre rythmeinstallables à votre rythme

Au delà des correctifsAu delà des correctifs

Windows XP SP2 Windows XP SP2 Pare-feu amélioréPare-feu amélioré

Messagerie électronique et navigation Internet plus Messagerie électronique et navigation Internet plus suressures

Protection de la mémoire amélioréeProtection de la mémoire améliorée

Beta d’ici à la fin de l’année, RTM selon le retour de nos Beta d’ici à la fin de l’année, RTM selon le retour de nos clients testeursclients testeurs

Windows Server 2003 SP1Windows Server 2003 SP1Configuration de la sécurité par rôleConfiguration de la sécurité par rôle

Inspection des machines clients pour l’accès à distanceInspection des machines clients pour l’accès à distance

Inspection des machines locales à la connexionInspection des machines locales à la connexion

RTM : H2 CY04 RTM : H2 CY04

Fournir des technos de sûretéFournir des technos de sûreté

Client distant Client distant potentiellement potentiellement infectéinfectéClient local Client local

potentiellement potentiellement infectéinfecté

InspectionInspection

Programme mondial de formationProgramme mondial de formationSéminaires Séminaires TechnetTechnet sur la sécurité (2 jours) sur la sécurité (2 jours)

WebcastsWebcasts sécurité sécurité

Symposium sécurité dédié Symposium sécurité dédié aux développeurs lors de la PDCaux développeurs lors de la PDC

Nouveaux conseils prescriptifsNouveaux conseils prescriptifsModèles et pratiquesModèles et pratiques

Configuration sécurité (how to)Configuration sécurité (how to)

Comment Microsoft sécurise MicrosoftComment Microsoft sécurise Microsoft

Communauté en ligneCommunauté en ligneZone sécurité pour les professionnelsZone sécurité pour les professionnelsde l’informatiquede l’informatique

Conseils et formationConseils et formation

Sensibiliser les utilisateursSensibiliser les utilisateurs

Campagne : 3 étapes pour vous aider à Campagne : 3 étapes pour vous aider à protéger votre PC protéger votre PC

http://www.microsoft.com/france/securite/http://www.microsoft.com/france/securite/protectionprotection

11erer

semestresemestre20042004

22ndnd semestresemestre

20042004FuturFuturOctobreOctobre

20032003

Support Support étenduétenduCorrectifs Correctifs mensuelsmensuelsGuidesGuides

Windows XP Windows XP SP2SP2AméliorationAméliorations des s des correctifscorrectifsSMS 2003SMS 2003SUS 2.0SUS 2.0Microsoft Microsoft UpdateUpdateFormation Formation

Windows Windows Server Server 2003 SP12003 SP1TechnologiTechnologies de es de sûretésûretéInspection Inspection de de nouvelle nouvelle générationgénérationISA Server ISA Server 20042004

DurcissemeDurcissement de nt de Windows via Windows via NGSCBNGSCBAutres Autres technologies technologies de sûreté au de sûreté au niveau du niveau du système système d’exploitatiod’exploitationn

PlanningPlanningPlanningPlanning

Présentations MicrosoftPrésentations Microsoft

9H15 à 10H159H15 à 10H15 Défense en profondeurDéfense en profondeur

10H30 à 11H30 10H30 à 11H30 Gestion des correctifs de sécuritéGestion des correctifs de sécurité

11H30 à 12H3011H30 à 12H30 Sécurité des réseaux Wi-FiSécurité des réseaux Wi-Fi

13H30 à 14H3013H30 à 14H30 NGSCB (ex-Palladium)NGSCB (ex-Palladium)

14H45 à 15H4514H45 à 15H45 Gestion de droits numériques en Gestion de droits numériques en entreprise (RMS)entreprise (RMS)

15H45 à 16H4515H45 à 16H45 Sécurité des réseaux Wi-FiSécurité des réseaux Wi-Fi

Présentations sécurité : http://www.microsoft.com/france/securite/evenements

© 2003 Microsoft Corporation. All rights reserved.This presentation is for informational purposes only. MICROSOFT MAKES NO WARRANTIES, EXPRESS OR IMPLIED, IN THIS SUMMARY.

AnnexeAnnexe

Conseils, guides et formationConseils, guides et formationMettront à jour, s’ajouteront aux guides existantsMettront à jour, s’ajouteront aux guides existants

Guides des opérations sur la sécurité, de solutions de sécurisation et Guides des opérations sur la sécurité, de solutions de sécurisation et d’architecturesd’architectures

Microsoft Solution for Securing Windows 2000 ServerMicrosoft Solution for Securing Windows 2000 Serverhttp://www.microsoft.com/technet/security/prodtech/Windows/SecWin2khttp://www.microsoft.com/technet/security/prodtech/Windows/SecWin2k Threats and countermeasuresThreats and countermeasuresin Windows XP and Windows Server 2003 in Windows XP and Windows Server 2003 http://www.microsoft.com/technet/security/topics/hardsys/tcg/tcgch00.asphttp://www.microsoft.com/technet/security/topics/hardsys/tcg/tcgch00.aspWindows XP Security GuideWindows XP Security Guidehttp://www.microsoft.com/downloads/http://www.microsoft.com/downloads/details.aspx?FamilyIddetails.aspx?FamilyId=2D3E25BC-F434-4CC6-A5A7-09A8A229F118&displaylang=en=2D3E25BC-F434-4CC6-A5A7-09A8A229F118&displaylang=enWindows Server 2003 Security GuideWindows Server 2003 Security Guidehttp://microsoft.com/downloads/details.aspx?FamilyId=8A2643C1-0685-4D89-B655-http://microsoft.com/downloads/details.aspx?FamilyId=8A2643C1-0685-4D89-B655-521EA6C7B4DB&displaylang=en 521EA6C7B4DB&displaylang=en SQL Server SecuritySQL Server Securityhttp://www.microsoft.com/sql/techinfo/administration/2000/security/securityWP.asp http://www.microsoft.com/sql/techinfo/administration/2000/security/securityWP.asp Securing Wireless LANsSecuring Wireless LANshttp://www.microsoft.com/technet/security/prodtech/windows/win2003/pkiwire/SWLAN.asphttp://www.microsoft.com/technet/security/prodtech/windows/win2003/pkiwire/SWLAN.aspGuide des opérations sur la sécurité de Microsoft Exchange 2000 ServerGuide des opérations sur la sécurité de Microsoft Exchange 2000 Serverhttp://www.microsoft.com/france/technet/produits/exchange/info/20021004_guide_securite.htmlhttp://www.microsoft.com/france/technet/produits/exchange/info/20021004_guide_securite.html… … (17 livres en tout à ce jour)(17 livres en tout à ce jour)

Guides de gestion des correctifs (voir seconde partie)Guides de gestion des correctifs (voir seconde partie)

http://www.microsoft.com/technet/security/prodtech/Windows/SecWin2k

http://www.microsoft.com/technet/security/topics/hardsys/tcg/tcgch00.asp

http://www.microsoft.com/downloads/details.aspx?FamilyId=2D3E25BC-F434-4CC6-A5A7-09A8A229F118&displaylang=en



Documents

Gestion des correctifs de sécurité Cyril VOISIN Chef de programme Sécurité Microsoft France