Embed Size (px)
Citation preview
Les ressources disponibles :Les ressources disponibles :bulletins, outils et publicationsbulletins, outils et publications
Les ressources disponibles :Les ressources disponibles :bulletins, outils et publicationsbulletins, outils et publications
Gérard GasganiasGérard GasganiasChef de projet SécuritéChef de projet SécuritéMicrosoft FranceMicrosoft France
Cyril VoisinCyril VoisinChef de programme SécuritéChef de programme Sécurité
Microsoft FranceMicrosoft France
La stratégie sécurité de MicrosoftLa stratégie sécurité de Microsoft
Isolation et Isolation et résiliencerésilience
Authentification,Authentification,Autorisation,Autorisation,
AuditAuditExcellence Excellence
dedel’engineeringl’engineering
Mise à jourMise à jouravancéeavancée
Conseils,Conseils,Outils,Outils,
RéponseRéponse
AgendaAgenda
Vulnérabilités, bulletins et Vulnérabilités, bulletins et alertes (MSRC)alertes (MSRC)
La gestion des correctifs La gestion des correctifs (WSUS, MBSA)(WSUS, MBSA)
La suppression des intrus La suppression des intrus (Antispyware, MSRT)(Antispyware, MSRT)
La gestion des risques La gestion des risques (MSRSAT)(MSRSAT)
Vie et mort d’une vulnérabilité…Vie et mort d’une vulnérabilité…
La plupart des La plupart des exploitsexploits sont sont conçues après la mise à conçues après la mise à disposition du correctifdisposition du correctif
La plupart des La plupart des exploitsexploits sont sont conçues après la mise à conçues après la mise à disposition du correctifdisposition du correctif
Les attaques se produisent Les attaques se produisent majoritairement icimajoritairement ici
Les attaques se produisent Les attaques se produisent majoritairement icimajoritairement ici
..
Produitinstallé
Vulnérabilitédécouverte
Composantcorrigé
Correctifpublié
Correctif déployéchez les clients
IgnoranceSignalement
volontaireModule Gap
Test, intégrationet déploiement
Mesure traditionnelle de la vulnérabilité
Vulnérabilité à une attaque générale
Vulnérabilité théorique
Vulnérabilitépublique
Le temps avant exploitationLe temps avant exploitation
Est devenu si court que le Est devenu si court que le “patching” n’est plus une défense “patching” n’est plus une défense suffisantesuffisante
9 jours sont nécessaires pour 9 jours sont nécessaires pour appliquer du “reverse appliquer du “reverse engineering” au patch et engineering” au patch et découvrir la faille…découvrir la faille…
151151180180
331331
Blaster
Blaster
Welchia/ Nachi
Welchia/ Nachi
NimdaNimda
2525
SQL Slammer
SQL Slammer
Nombre de jours Nombre de jours entre le correctif et entre le correctif et
l’exploitationl’exploitation
1818
Sasser
Sasser
Vie et mort d’une vulnérabilité…suiteVie et mort d’une vulnérabilité…suite
Microsoft Security Response Microsoft Security Response CenterCenter
Analyse et traitement Analyse et traitement des rapports de des rapports de vulnérabilitésvulnérabilités
[email protected]@microsoft.com
Suivi des listes SécuritéSuivi des listes Sécurité
Point central de coordination Point central de coordination et communicationet communication
Plan de réponse Plan de réponse Sécurité de Sécurité de MicrosoftMicrosoft
Responsable du plan et de sa Responsable du plan et de sa coordination au sein de Microsoftcoordination au sein de Microsoft
Travaille à la réduction des risques en Travaille à la réduction des risques en modifiant les processus internes de modifiant les processus internes de développement par rapport à la développement par rapport à la sécurité sécurité
Communauté et Communauté et CommunicationsCommunications
Travaille avec les autorités légales Travaille avec les autorités légales et les décideurset les décideurs
Création d’une communauté Création d’une communauté d’échange avec les découvreurs des d’échange avec les découvreurs des vulnérabilitésvulnérabilités
Le MSRC : un centre névralgiqueLe MSRC : un centre névralgique
MSRCMSRC
JuridiqueJuridique
Recherche Recherche SécuritéSécurité
Éditeurs Éditeurs SécuritéSécurité
Décideurs Décideurs IndustrieIndustrie
Groupes Groupes ProduitsProduits
Equipes Equipes SupportSupport
PressePresse
Partenaires Partenaires MicrosoftMicrosoft
Clients Clients MicrosoftMicrosoft
Agences Agences gouvernementalesgouvernementales
Microsoft Security Response CenterMicrosoft Security Response Center
Genèse d’un correctif de sécuritéGenèse d’un correctif de sécurité
PrioritéPriorité
Analyse du rapport et des impacts possibles sur les clientsÉvaluation de la sévérité de la vulnérabilité et des risques d’exploitationNiveau de priorité décidé
Relation avec Relation avec l’auteurl’auteur
CommunicationRéponse rapideAnalyse de la motivation et des besoinsÉchanges réguliers
CommunautéEncourager les rapports volontaires
Le MSRC reçoit les rapports de vulnérabilité par:
[email protected] TechNet Sécurité – rapports anonymes
MSRC s’engage à répondre à tous les rapports en 24 h
Rapport deRapport devulnérabilitévulnérabilité
Création de Création de contenucontenu
Écriture du bulletin de sécurité :
Logiciels/composants affectés Description techniqueContournements et atténuationFAQsRemerciements
Validation du groupe de produit
Publication bulletin de sécurité : 2ème Mardi de chaque moisCoordination de toute la communication en ligneEnvoi d’informations et de conseils aux clientsSuivi des problèmes clients et de l’activité Presse
PublicationPublication
Réalisation Réalisation du correctifdu correctif
Équipe Produit :Identifie l’impact de la vulnérabilitéRecherche de variantesAnalyse en profondeur du code et des spécifications
Ecriture du correctif pour test
TestTest
Plusieurs niveaux de test :
Vérification de l’Installation et du packagingProfondeurIntégrationRéseau Microsoft
MAJ des outils MAJ des outils et règleset règles
MAJ « best practices »MAJ des outils de testMAJ du processus de développement et de design
Sévérité des bulletinsSévérité des bulletins
L'exploitation de cette vulnérabilité a des conséquences L'exploitation de cette vulnérabilité a des conséquences sérieuses, mais atténuées par des facteurs tels que la sérieuses, mais atténuées par des facteurs tels que la configuration par défaut, l'audit, la nécessité d'une configuration par défaut, l'audit, la nécessité d'une intervention de l'utilisateur ou la difficulté d'exploitationintervention de l'utilisateur ou la difficulté d'exploitation
CritiqueCritique
ModéréModéré
FaibleFaible
L'exploitation de cette vulnérabilité peut permettre la L'exploitation de cette vulnérabilité peut permettre la propagation d'un ver Internet, tel que Code Red, propagation d'un ver Internet, tel que Code Red, Nimda ou Blaster, sans intervention de l'utilisateurNimda ou Blaster, sans intervention de l'utilisateur
L'exploitation de cette vulnérabilité est très difficile L'exploitation de cette vulnérabilité est très difficile ou a un impact minimeou a un impact minime
ImportantImportantL'exploitation de cette vulnérabilité peut impacter L'exploitation de cette vulnérabilité peut impacter l'intégrité, la confidentialité ou la disponibilité des l'intégrité, la confidentialité ou la disponibilité des données de l'utilisateur, l'intégrité ou la disponibilité données de l'utilisateur, l'intégrité ou la disponibilité des ressources de traitementdes ressources de traitement
Plus d’information : www.microsoft.com/technet/security/bulletin/rating.mspx
Le MSRC et les bulletins de Le MSRC et les bulletins de sécuritésécurité
Avant la Avant la publicationpublication
PublicationPublication
2nd Mardi2nd Mardi
Après la Après la publicationpublication
Pré-annonce des bulletins (J-3 = Jeudi) : MSRC Bulletin Notification nombre de bulletins niveau de sévérité anticipé aperçu des produits affectés
http://www.microsoft.com/technet/security/bulletin/advance.mspx http://www.microsoft.com/technet/security/bulletin/advance.mspx démodémo
Correctifs publiés sur le Download Center, WU et/ou Office Update, MU
Notifications envoyées par email aux clientshttp://www.microsoft.com/technet/security/bulletin/notify.mspx
Bulletins publiés les sites Microsofthttp://www.microsoft.com/france/securite/bulletins/default.mspx
Informations proactives pour la Presse
Publication sur les newsgroups Sécurité / flux RSS
Webcast d’informations sur les bulletins (Mercredi, 19h00)
http://www.microsoft.com/technet/security/default.mspx
Suivi des bulletins et des problèmes client via le Support.
Maintenance des bulletins
Les avis de sécurité Les avis de sécurité (“Security Advisories”)(“Security Advisories”)
Complémente les Complémente les bulletins de bulletins de
sécurité Microsoftsécurité Microsoft
ContenuContenu
Plus Plus d’informationsd’informations
Fournit des informations et conseils à propos de Fournit des informations et conseils à propos de modifications de logiciels et de mises à jour liées à la modifications de logiciels et de mises à jour liées à la sécuritésécuritéQuelques exemples de thèmes qui pourraient être Quelques exemples de thèmes qui pourraient être traités :traités :
Améliorations de sécurité pour la “défense en profondeur" Améliorations de sécurité pour la “défense en profondeur" ou d’autres changements non liés à des vulnérabilitésou d’autres changements non liés à des vulnérabilitésConseils de protection qui pourraient s’appliquer à propos Conseils de protection qui pourraient s’appliquer à propos de vulnérabilités divulguées publiquementde vulnérabilités divulguées publiquement
Résumé des raisons de la publication de l’avis de Résumé des raisons de la publication de l’avis de sécuritésécuritéForum aux questionsForum aux questionsActions suggéréesActions suggéréesPeut être mis à jour à n’importe quel moment où Peut être mis à jour à n’importe quel moment où nous avons davantage d’informationsnous avons davantage d’informations
Fait référence à un numéro d’article de la base de Fait référence à un numéro d’article de la base de connaissance (Knowledge Base) pour davantage connaissance (Knowledge Base) pour davantage d’informationsd’informationsInscription : Inscription : www.microsoft.com/technet/security/bulletin/notify.www.microsoft.com/technet/security/bulletin/notify.mspxmspx
www.microsoft.com/technet/security/advisory
Réponse à un incident de Réponse à un incident de sécuritésécuritéAperçuAperçu
Processus d’entreprise pour faire face aux Processus d’entreprise pour faire face aux menaces de sécurité critiquesmenaces de sécurité critiques
Mobilisation de ressources Microsoft dans le Mobilisation de ressources Microsoft dans le monde entiermonde entier
Objectifs :Objectifs :Obtenir rapidement une bonne compréhension du Obtenir rapidement une bonne compréhension du problèmeproblème
Vous fournir à temps des informations pertinentes Vous fournir à temps des informations pertinentes et cohérenteset cohérentes
Fournir des outils des mises à jour de sécurité et Fournir des outils des mises à jour de sécurité et d’autre éléments d’aide à la restauration du d’autre éléments d’aide à la restauration du service normalservice normal
Réponse à un incident de Réponse à un incident de sécuritésécurité
WatchWatch
Observation Observation (détection d’un (détection d’un problème problème potentiel)potentiel)
Relations avec :Relations avec :PartenairesPartenaires
Chercheurs en Chercheurs en sécurité et sécurité et découvreurs de découvreurs de vulnérabilitésvulnérabilités
Écoute des Écoute des demandes clients demandes clients au support, de au support, de celles de la celles de la pressepresse
AlertAlertand and
MobilizeMobilize
Évaluation du Évaluation du niveau de graviténiveau de gravité
Mobilisation des Mobilisation des équipes de équipes de réponse et des réponse et des groupes de groupes de support en 2 support en 2 groupes :groupes :
Emergency Emergency Engineering TeamEngineering Team
Emergency Emergency Communications Communications TeamTeam
Observation des Observation des demandes clients demandes clients et niveau d’intérêt et niveau d’intérêt à propos de cet à propos de cet incidentincident
AssessAssessandand
StabilizeStabilize
Évaluation de la Évaluation de la situation et des situation et des infos techniques infos techniques disponiblesdisponibles
Début du travail Début du travail sur la solutionsur la solution
Communication Communication des conseils des conseils initiaux et des initiaux et des contournements contournements
Notification et Notification et information des information des employés de employés de MicrosoftMicrosoft
ResolveResolve
Fourniture Fourniture d’informations et d’informations et d’outils pour d’outils pour rétablir la situation rétablir la situation normalenormale
La solution La solution appropriée est appropriée est fournie : mise à fournie : mise à jour de sécurité, jour de sécurité, outil ou correctifoutil ou correctif
Revue des Revue des processus processus internes et internes et dégagement des dégagement des enseignementsenseignements
Publication des bulletins de sécurité d’avril 2004, incluant celui référencé Publication des bulletins de sécurité d’avril 2004, incluant celui référencé MS04-011 qui traite d’une vulnérabilité corrigée dans LSASSMS04-011 qui traite d’une vulnérabilité corrigée dans LSASS
Début de l’observation des lignes de support, des newsgroups et des activités Début de l’observation des lignes de support, des newsgroups et des activités des communautés et des demandes de la pressedes communautés et des demandes de la presse
Premier rapports de l’arrivée prochaine de SasserPremier rapports de l’arrivée prochaine de Sasser
Alerte des équipes de réponse à un incident de sécurité et réunion dans les 2 Alerte des équipes de réponse à un incident de sécurité et réunion dans les 2 salles des équipes d’urgence techniques et communicationssalles des équipes d’urgence techniques et communications
v2.0 de l’outil de suppression de Sasser sur Windows Updatev2.0 de l’outil de suppression de Sasser sur Windows Update
Communication massive auprès des clients et partenaires pour aider Communication massive auprès des clients et partenaires pour aider à nettoyer les systèmes :à nettoyer les systèmes :
Webcast technique Sasser (en anglais)Webcast technique Sasser (en anglais)
Chats en ligne avec les supportChats en ligne avec les support
Mise à jour des sites MicrosoftMise à jour des sites Microsoft
Outil de suppression mis à jour en permanence pour nettoyer de Outil de suppression mis à jour en permanence pour nettoyer de nouvelles variantesnouvelles variantes
Étude de cas : SasserÉtude de cas : Sasser
WatchWatch(13-28 avril (13-28 avril 2004)2004)
Alert & Alert & MobilizeMobilize(29 avril 2004)(29 avril 2004)
ResolveResolve(4-10 mai 2004)(4-10 mai 2004)
Assess & Assess & StabilizeStabilize(30 avril - 3 mai 2004)(30 avril - 3 mai 2004)
Début d’analyse technique et travail sur la solution (outil de nettoyage)Début d’analyse technique et travail sur la solution (outil de nettoyage)
Conseils initiaux communiquésConseils initiaux communiquésPage Sasser sur Page Sasser sur www.microsoft.com/security
Alertes par e-mail envoyées par les services de notification pour la sécuritéAlertes par e-mail envoyées par les services de notification pour la sécurité
Envoi des alertes aux partenaires et employésEnvoi des alertes aux partenaires et employés
Publication de l’outil de suppression de Sasser (Sasser Worm Removal Publication de l’outil de suppression de Sasser (Sasser Worm Removal Tool) v1.0 sur le Centre de téléchargementTool) v1.0 sur le Centre de téléchargement
Microsoft publie les bulletins de sécurité pour février 2005, dont MS05-009 qui Microsoft publie les bulletins de sécurité pour février 2005, dont MS05-009 qui traite d’une vulnérabilité corrigée dans la manipulation des fichiers PNG touchant traite d’une vulnérabilité corrigée dans la manipulation des fichiers PNG touchant MSN Messenger 6.1 & 6.2MSN Messenger 6.1 & 6.2
Début de l’observation des lignes de support, des newsgroups et des activités des Début de l’observation des lignes de support, des newsgroups et des activités des communautés et des demandes de la pressecommunautés et des demandes de la presse
Premiers rapports d’une exploitation publique pour MSN MessengerPremiers rapports d’une exploitation publique pour MSN Messenger
Alerte des équipes de réponse à un incident de sécurité et réunion dans les 2 Alerte des équipes de réponse à un incident de sécurité et réunion dans les 2 salles des équipes d’urgence techniques et communicationssalles des équipes d’urgence techniques et communications
Décision de l’obligation de mise à jour de MSN Messenger pour Décision de l’obligation de mise à jour de MSN Messenger pour pouvoir utiliser le servicepouvoir utiliser le service
Notification de la décision d’obligation de mise à jour :Notification de la décision d’obligation de mise à jour :Mise à jour des sites Web de l’entrepriseMise à jour des sites Web de l’entreprise
Envoi des alertes aux partenaires et employésEnvoi des alertes aux partenaires et employés
Le passage obligatoire par la mise à jour a réduit l’impact et la Le passage obligatoire par la mise à jour a réduit l’impact et la diffusion du verdiffusion du ver
Étude de cas : MSN MessengerÉtude de cas : MSN Messenger
WatchWatch(8-9 février (8-9 février 2005)2005)
Alert & Alert & MobilizeMobilize(9 février 2005)(9 février 2005)
ResolveResolve(10-11 février 2005)(10-11 février 2005)
Assess & Assess & StabilizeStabilize(9 février 2005)(9 février 2005)
Début de l’analyse techniqueDébut de l’analyse technique
Conseils initiaux, recommandant la mise à jour vers la dernière verion de Conseils initiaux, recommandant la mise à jour vers la dernière verion de MSN Messenger incluant la correctionMSN Messenger incluant la correction
Page dédiée Page dédiée www.microsoft.com/security/incident/im.mspx
Alertes par e-mail envoyées par les services de notification pour la sécuritéAlertes par e-mail envoyées par les services de notification pour la sécurité
Envoi des alertes aux partenaires et employésEnvoi des alertes aux partenaires et employés
AgendaAgenda
Vulnérabilité, bulletins et Vulnérabilité, bulletins et alertes (MSRC)alertes (MSRC)
La gestion des correctifs La gestion des correctifs (WSUS, MBSA)(WSUS, MBSA)
La suppression des intrus La suppression des intrus (Antispyware, MSRT)(Antispyware, MSRT)
La gestion des risques La gestion des risques (MSRSAT)(MSRSAT)
Solutions TechniquesSolutions Techniques
Windows Update SUS 1.0 WSUS (SUS 2.0) SMS
MBSA
Mode « Pull » Mode « Push »
Windows 98, NT4, XP, 2000, 2003 Windows XP, 2000, 2003 Windows XP, 2000, 2003
Windows 98, NT4, XP, 2000, 2003
Patchs, Màj, SP Patches, SP Patches, Màj, SP, Màj Office, SQL, Exchg. Patches, Màj, SP
Toutes applicationsRapports
Rapports personnalisés
Inventaire et gestion de la base d’installations intégrées à SMS
Fonctionnement au travers d’un proxy
Communication sécurisée (https)
Solution Microsoft complémentaire pour analyser le niveau de protection des ordinateurs cibles
Communication directe avec l’Internet
Pas de support pour Windows NT4 et W98
Création de groupes d’ordinateurs cibles
API Scriptables (côtés client et serveur)
MBSAMBSA
Automatise l'identification des correctifs de sécurité Automatise l'identification des correctifs de sécurité manquants et des problèmes de configuration de la manquants et des problèmes de configuration de la sécuritésécuritéPermet à un administrateur d'analyser d'un point Permet à un administrateur d'analyser d'un point central un grand nombre de systèmescentral un grand nombre de systèmesScriptable (Consolidation)Scriptable (Consolidation)2 modes2 modes
Graphique (GUI)Graphique (GUI)Ligne de commandeLigne de commande
Disponible en version 1.2.1Disponible en version 1.2.1
Version 2.0 en betaVersion 2.0 en beta
http://www.microsoft.com/mbsa
Console MBSAConsole MBSA
MBSA 2.0 MBSA 2.0 Déploiement de Déploiement de l’agentl’agent
3.3. Si l’interface d’analyse Si l’interface d’analyse (API) n’est pas disponible, (API) n’est pas disponible, téléchargement des téléchargement des composants de l’agentcomposants de l’agent
1.1. Exécution de MBSA sur un système Exécution de MBSA sur un système d’administration, en spécifiant une ou des d’administration, en spécifiant une ou des ciblescibles
4.4. Pousse l’agent, accord Pousse l’agent, accord explicite, puis essaie de explicite, puis essaie de nouveau l’APInouveau l’API5.5. Si le site MU ne peut Si le site MU ne peut pas être utilisé, alors pas être utilisé, alors téléchargement de téléchargement de WSUSSCAN.CABWSUSSCAN.CAB
6.6. Comparaison de la Comparaison de la version de l’agent version de l’agent dans le .CAB à la dans le .CAB à la version de l’agent version de l’agent WUAWUA
7.7. Si version inférieure, Si version inférieure, alors on reprend en alors on reprend en 3., puis on essaie de 3., puis on essaie de nouveau avec nouveau avec WSUSSCAN.CABWSUSSCAN.CAB
Microsoft Update
WUSCltV5aX64.exeWUSCltV5aX64.exe
WUSCltV5aX86.exeWUSCltV5aX86.exe
Machine cibleMachine cible
WSUSSCAN.CABWSUSSCAN.CAB2.2. Tentative d’analyse (API)Tentative d’analyse (API)
Console MBSAConsole MBSA
Analyse avec MBSA Analyse avec MBSA 2.02.0
2.2. Par défaut, tentative avec le serveur Par défaut, tentative avec le serveur WSUS (s’il est assigné)WSUS (s’il est assigné)
1.1. Exécution de MBSA depuis un Exécution de MBSA depuis un système d’administration, en système d’administration, en spécifiant la ou les ciblesspécifiant la ou les cibles
4.4. Si échec avec MU, alors on utilise Si échec avec MU, alors on utilise le fichier .CABle fichier .CAB
5.5. Si le .CAB actuel n’est Si le .CAB actuel n’est pas à jour, télécharger pas à jour, télécharger le nouveaule nouveau
6.6. Analyse avec le .CAB Analyse avec le .CAB (API)(API)
Microsoft Update
.CAB.CABhors hors ligneligne
7.7. Si WSUS et MU Si WSUS et MU produisent tous les produisent tous les deux des résultats, deux des résultats, les fusionnerles fusionner
8.8. Utilisation du score par Utilisation du score par défaut pour les mises défaut pour les mises à jour non approuvés à jour non approuvés par WSUSpar WSUS
3.3. Tentative avec le site MU (par Tentative avec le site MU (par défaut)défaut)
Site MUSite MU(Microsoft (Microsoft
Update)Update)
WSUSWSUS
Machine cibleMachine cible
Détection de mises à jour Détection de mises à jour MBSA 2.0MBSA 2.0
Mises à jour de sécurité (aujourd’hui)Mises à jour de sécurité (aujourd’hui)
Windows 2000 SP3 et +Windows 2000 SP3 et +
IIS 5.0 et +IIS 5.0 et +
SQL Server 2000 / MSDE et +SQL Server 2000 / MSDE et +
IE 5.01 SP3 et +IE 5.01 SP3 et +
Exchange 2000, 2003 et +Exchange 2000, 2003 et +
Windows Media Player 6.4 et +Windows Media Player 6.4 et +
Office XP, 2003 et +Office XP, 2003 et +
MSXML 2.5, 2.6, 3.0, 4.0MSXML 2.5, 2.6, 3.0, 4.0
MDAC 2.5, 2.6, 2.7, 2.8MDAC 2.5, 2.6, 2.7, 2.8
Microsoft Virtual Machine (JVM)Microsoft Virtual Machine (JVM)
Nouvelles plateformesNouvelles plateformes
Seulement à distance, uniquement Seulement à distance, uniquement pour les mises à jourpour les mises à jour
XP EmbeddedXP Embedded
IA64IA64Mises à jour seulementMises à jour seulement
X64X64
Pas disponible tout de suite
Service Packs de SQL et Service Packs de SQL et ExchangeExchange
Mises à jour d’Office 2000Mises à jour d’Office 2000
Commerce ServerCommerce Server
Content Mgt ServerContent Mgt Server
BizTalkBizTalk
Host Integration ServerHost Integration Server
Mises à jour de sécurité (nouveautés)Mises à jour de sécurité (nouveautés)DirectXDirectX.NET Framework.NET FrameworkWindows MessengerWindows MessengerFrontPage Server ExtensionsFrontPage Server ExtensionsWindows Media Player 10Windows Media Player 10Windows Script 5.1, 5.5, 5.6Windows Script 5.1, 5.5, 5.6Windows Server 2003, 64-Bit Windows Server 2003, 64-Bit EditionEditionWindows XP 64-Bit EditionWindows XP 64-Bit EditionWindows XP Embedded Windows XP Embedded EditionEdition
MBSA – Rapports (GUI)MBSA – Rapports (GUI)
MBSA 2.0MBSA 2.0MBSA 2.0MBSA 2.0
démodémo
Options en ligne de commandeOptions en ligne de commande
MBSA 1.2.xMBSA 1.2.x
/hf /h ou /hf /i/hf /h ou /hf /i
/c ou /i/c ou /i
/hf /x/hf /x
/hf/hf
/sus/sus
/hf /fip/hf /fip
/hf /fh/hf /fh
/v/v
MBSA 2.0MBSA 2.0
/target/target
/target/target
/catalog/catalog
/xmlout or /n */xmlout or /n *
/wa/wa
/listfile/listfile
/listfile/listfile
/ld/ld
* = OS+IIS+SQL+Motdepasse
MBSA 2.0MBSA 2.0
Actuellement en betaActuellement en betaAnalyse sans installationAnalyse sans installation
mbsacli.exe, wsusscan.dll et wsusscan.cab mbsacli.exe, wsusscan.dll et wsusscan.cab requis pour une analyse hors lignerequis pour une analyse hors ligne
PerformancePerformancePossibilité de lancer plusieurs instances Possibilité de lancer plusieurs instances simultanémentsimultanément
Supportera les CVE-IDs du Mitre quand Supportera les CVE-IDs du Mitre quand le contenu sera ajouté à Microsoft le contenu sera ajouté à Microsoft UpdateUpdateConnecteur Visio Connecteur Visio
Connecteur VisioConnecteur VisioAdd-in COM pour Visio 2003Add-in COM pour Visio 2003
Visualisation des résultats MBSAVisualisation des résultats MBSA
2 modes :2 modes :Import des résultats dans le schéma du réseauImport des résultats dans le schéma du réseau
Lancement du scan directement à partir du Lancement du scan directement à partir du schémaschéma
http://www.microsoft.com/downloads/details.aspx?FamilyID=8ea27d78-32b5-4f37-a7fd-http://www.microsoft.com/downloads/details.aspx?FamilyID=8ea27d78-32b5-4f37-a7fd-99ee2aa76c62&DisplayLang=en99ee2aa76c62&DisplayLang=en
MBSA - ComplémentsMBSA - Compléments
AgendaAgenda
Vulnérabilité, bulletins et Vulnérabilité, bulletins et alertes (MSRC)alertes (MSRC)
La gestion des correctifs La gestion des correctifs (WSUS, MBSA)(WSUS, MBSA)
La suppression des intrus La suppression des intrus (Antispyware, MSRT)(Antispyware, MSRT)
La gestion des risques La gestion des risques (MSRSAT)(MSRSAT)
Que sont les logiciels Que sont les logiciels espions ?espions ?
ExemplesExemplesDescriptionDescription
Pas de nuisance Pas de nuisance potentiellepotentielle
Utilisation de Utilisation de ressources à ressources à distancedistance
Collecte de Collecte de données données personnellespersonnelles
Affichage de pubAffichage de pub
Changements de Changements de paramétragesparamétrages
Numérotation Numérotation automatiqueautomatique
Clairement Clairement malfaisant malfaisant (virus, ver, (virus, ver, troyen)troyen)
Inoffensif
Collecte de données
Publicité
Changements de
configuration
Utilisation de
ressources à distance
Numérotation
Activité malfaisante
Surveillance Enregistrement Enregistrement des frappes des frappes clavierclavier
Pote
nti
el d
e
Pote
nti
el d
e
nu
isan
ce
nu
isan
ce
ExtrêmExtrêmee
AucunAucun
ComportementComportement
+ NotepadNotepad
+ Logiciel du fournisseur d’accèsLogiciel du fournisseur d’accès– Numérotation vers site pornoNumérotation vers site porno
+ Contrôle parentalContrôle parental– Key-loggersKey-loggers
– SasserSasser
+ Barre de recherche autoriséeBarre de recherche autorisée– Collecte de donnéesCollecte de données
+ Logiciel supportant de la pubLogiciel supportant de la pub– Pop-ups non autorisésPop-ups non autorisés
+ Utilitaires de paramétrageUtilitaires de paramétrage– Détournement du navigateurDétournement du navigateur
+ Application partage de cycleApplication partage de cycle– Porte dérobéePorte dérobée
Spyware ou logiciel espion : Programme qui effectue un certain nombre
d’opérations sans le consentement approprié de l’utilisateur
Quelques idées de l’ampleurQuelques idées de l’ampleur
La cause d’au moins 1/3 de tous les crashes des La cause d’au moins 1/3 de tous les crashes des applications Windowsapplications Windows11
Problème majeur chez les OEMs : la cause numéro Problème majeur chez les OEMs : la cause numéro 1 des appels au support chez Dell1 des appels au support chez Dell22
ConsommateursConsommateurs91 % des utilisateurs de l’Internet haut débit sont affectés91 % des utilisateurs de l’Internet haut débit sont affectés33
En moyenne : 5+ « spyware » / « adware » par machineEn moyenne : 5+ « spyware » / « adware » par machine44
Entreprise Entreprise 55
92 % des managers des DI interrogés pensent que leurs 92 % des managers des DI interrogés pensent que leurs sociétés ont des « spyware »sociétés ont des « spyware »
1Analyses MS Watson/OCA, Jan-Mar 20042FTC Workshop, Avril 20043,4NCSABroadband Consumer Survey, Earthlink Spy Audit, Avril 20045Websense Web@Work Survey, Avril 2004
Microsoft Windows Microsoft Windows AntiSpywareAntiSpyware
Communauté SpyNet™ : identifier les nouveaux Communauté SpyNet™ : identifier les nouveaux spywaresspywares
Mise à jour automatique des signaturesMise à jour automatique des signatures
Corrige les problèmes de ralentissement, de Corrige les problèmes de ralentissement, de pop-upspop-ups, etc., etc.
Analyses planifiées pour maintenir sécurité et confidentialitéAnalyses planifiées pour maintenir sécurité et confidentialité
Surveillance temps réel de plus de 50 points d'entréesSurveillance temps réel de plus de 50 points d'entrées
Alertes personnalisables selon vos préférencesAlertes personnalisables selon vos préférences
Lutte contre les logiciels espionsLutte contre les logiciels espions
Aide à protéger les utilisateurs de Aide à protéger les utilisateurs de Windows contre les logiciels espions et Windows contre les logiciels espions et autres logiciels non désirésautres logiciels non désirés
Détecter et supprimer Détecter et supprimer les spywaresles spywares
Améliorer la sécurité Améliorer la sécurité de la navigation sur de la navigation sur
InternetInternet
Stopper les dernières Stopper les dernières menacesmenaces
Microsoft AntispywareMicrosoft AntispywareMicrosoft AntispywareMicrosoft Antispyware
démodémo
Windows AntiSpywareWindows AntiSpyware
Plus de 10 millions de Plus de 10 millions de téléchargements (en 10 téléchargements (en 10 semaines)semaines)
Retours positifsRetours positifs
Signatures anti-spyware mises à Signatures anti-spyware mises à jour toutes les semainesjour toutes les semaines
Site Microsoft Anti-spyware Site Microsoft Anti-spyware
http://www.microsoft.com/spywarehttp://www.microsoft.com/spyware
Evolution de l’Anti-spywareEvolution de l’Anti-spyware
Windows ClientWindows Client
Détection et suppression des Détection et suppression des spywaresspywaresProtection continueProtection continueDéfenses à jourDéfenses à jour
Windows Windows AntiSpywareAntiSpyware
En entrepriseEn entrepriseDéploiement centralisé (client et Déploiement centralisé (client et signatures)signatures)Rapports étendusRapports étendusOptions de configuration et contrôle Options de configuration et contrôle Admin des signaturesAdmin des signatures
Outil de suppression des logiciels Outil de suppression des logiciels malfaisants (MSRT)malfaisants (MSRT)
Mise à jour tous les mois pour Mise à jour tous les mois pour supprimer les nouveaux logiciels supprimer les nouveaux logiciels malfaisantsmalfaisantsCiblé vers les consommateurs Ciblé vers les consommateurs sans antivirussans antivirusDéployable en entreprise comme Déployable en entreprise comme partie intégrante d’une stratégie partie intégrante d’une stratégie de défense en profondeurde défense en profondeurDisponible à traversDisponible à travers Windows UpdateWindows Update Auto UpdateAuto Update Interface en ligne (ctrl ActiveX Interface en ligne (ctrl ActiveX
sur sur http://www.microsoft.com/france/http://www.microsoft.com/france/securite/outils/malware.mspxsecurite/outils/malware.mspx) )
Download CenterDownload Center
Complémente les technologies traditionnelles des Antivirus en Complémente les technologies traditionnelles des Antivirus en fournissant un outil qui supprime virus et vers les plus répandusfournissant un outil qui supprime virus et vers les plus répandus
Outil de suppression des logiciels Outil de suppression des logiciels malfaisantsmalfaisants
Remplace toutes les versions précédentes Remplace toutes les versions précédentes des logiciels d’éradication de codes des logiciels d’éradication de codes malfaisants produits par Microsoftmalfaisants produits par Microsoft
CibleCibleBlaster, Sasser, MyDoom, DoomJuice, Zindos, Blaster, Sasser, MyDoom, DoomJuice, Zindos, Berbew (aussi connu comme Download.Ject), Berbew (aussi connu comme Download.Ject), Gaobot et NachiGaobot et Nachi
Disponible dans les 23 langues supportés Disponible dans les 23 langues supportés par Windows XPpar Windows XP
Plus d’informations sur le déploiement de cet Plus d’informations sur le déploiement de cet outil en entreprise dans l’article 891716 de la outil en entreprise dans l’article 891716 de la KB KB ((http://support.microsoft.com/kb/891716http://support.microsoft.com/kb/891716))
AgendaAgenda
Vulnérabilité, bulletins et Vulnérabilité, bulletins et alertes (MSRC)alertes (MSRC)
La gestion des correctifs La gestion des correctifs (WSUS, MBSA)(WSUS, MBSA)
La suppression des intrus La suppression des intrus (Antispyware, MSRT)(Antispyware, MSRT)
La gestion des risques La gestion des risques (MSRSAT)(MSRSAT)
Pas simplement des technos…Pas simplement des technos…
Les 3 facettes de la sécuritéLes 3 facettes de la sécurité
ArchitectureArchitecturesécuriséesécurisée
Technologies
Technologies
OSOS
Annuaire
Annuaire
Correctif
s
Correctif
s
IPSECIPSEC
KerberosKerberos
PKIPKI
ChiffrementChiffrement
de fichiersde fichiers
SSL/TLS
SSL/TLS
Clusters
Clusters
Détectio
n
Détectio
n
d’in
trusio
nd
’intru
sion
Gestion de systèmes
Gestion de systèmes
SupervisionSupervision
Pare-feuPare-feu
Antivirus
Antivirus
PersonnesPersonnesAdmin.Admin.de l’Entreprise
de l’EntrepriseAdm
in.
Admin
.
Du Dom
aine
Du Dom
aine
Service/Service/
SupportSupport
Développeur
DéveloppeurUtilisateurUtilisateur
ArchivageArchivage
Politique
Politiqued’accès
d’accès
Inst
alla
tion
Inst
alla
tion
Réparation
RéparationGes
tion d
es
Ges
tion d
es
évén
emen
ts
évén
emen
ts
Gestion desGestion des
perfsperfs
Gestion du
Gestion du
Changement /
Changement /
de la C
onfiguratio
n
de la C
onfiguratio
n
Proc
essu
s
Proc
essu
s
RestaurationRestauration Sauvegard
e
Sauvegard
e
Réponse à Réponse à IncidentIncident
Évalu
atio
n
Évalu
atio
n
de ri
sque
s
de ri
sque
s
Microsoft Security Risk Self-Microsoft Security Risk Self-AssessmentAssessment((MSRSATMSRSAT))
Évaluer les faiblesses de Évaluer les faiblesses de votre environnement en votre environnement en matière de sécurité matière de sécurité informatiqueinformatiqueQuestionnaire détailléQuestionnaire détailléTraite infrastructure, Traite infrastructure, applications, opérations applications, opérations et personnel et personnel
Multilangue, mise à jour Multilangue, mise à jour en ligneen lignePossibilité de Possibilité de comparaison anonymecomparaison anonyme
http://www.microsoft.com/france/securite/outils/riskself.mspxhttp://www.microsoft.com/france/securite/outils/riskself.mspx
MSRSATMSRSATMSRSATMSRSAT
démodémo
Abonnez-vousAbonnez-vous
Flash Sécurité : Flash Sécurité : http://www.microsoft.com/france/securite/newsletters.mspxhttp://www.microsoft.com/france/securite/newsletters.mspx
Grand public : Grand public : https://profile.microsoft.com/RegSysSubscriptionCnt/Subhttps://profile.microsoft.com/RegSysSubscriptionCnt/SubCntDefault.aspx?LCID=1036&SIC=1CntDefault.aspx?LCID=1036&SIC=1
IT Pro : IT Pro : https://profile.microsoft.com/RegSysSubscriptionCnt/Subhttps://profile.microsoft.com/RegSysSubscriptionCnt/SubCntDefault.aspx?LCID=1036&SIC=1CntDefault.aspx?LCID=1036&SIC=1
Alerte et BulletinsAlerte et Bulletinshttp://www.microsoft.com/technet/security/bulletin/http://www.microsoft.com/technet/security/bulletin/
notify.mspxnotify.mspxRSS Feed, Instant Messaging, Notification Service (+ RSS Feed, Instant Messaging, Notification Service (+
Comprehensive)Comprehensive)
RessourcesRessources
Général (Abonnements bulletins, alertes, newsflash)Général (Abonnements bulletins, alertes, newsflash)http://www.microsoft.com/securityhttp://www.microsoft.com/security http://www.microsoft.com/france/securitehttp://www.microsoft.com/france/securite
Security Guidance Center :Security Guidance Center :http://www.microsoft.com/security/guidancehttp://www.microsoft.com/security/guidancehttp://www.microsoft.com/france/securite/entreprises/default.mspxhttp://www.microsoft.com/france/securite/entreprises/default.mspx
Outils : Outils : http://www.microsoft.com/technet/Security/toolshttp://www.microsoft.com/technet/Security/tools
Comme l’informatique Interne de Microsoft sécurise-t-elle Microsoft ?Comme l’informatique Interne de Microsoft sécurise-t-elle Microsoft ?http://www.microsoft.com/technet/itsolutions/msithttp://www.microsoft.com/technet/itsolutions/msit
E-Learning Clinics : E-Learning Clinics : https://www.microsoftelearning.com/securityhttps://www.microsoftelearning.com/security
Événements et Événements et Webcasts : Webcasts : http://www.microsoft.com/seminar/events/security.mspxhttp://www.microsoft.com/seminar/events/security.mspx
Hotline sécurité : 0 825 827 829 code 55Hotline sécurité : 0 825 827 829 code 55
Microsoft FranceMicrosoft France18, avenue du Québec18, avenue du Québec
91 957 Courtaboeuf Cedex91 957 Courtaboeuf Cedex
www.microsoft.com/france
0 825 827 8290 825 827 829
[email protected]@microsoft.com
