Upload
internet
View
106
Download
0
Embed Size (px)
Citation preview
Nouveautés en matière Nouveautés en matière de sécurité du Service de sécurité du Service Pack 2 de Windows XPPack 2 de Windows XP
Nouveautés en matière Nouveautés en matière de sécurité du Service de sécurité du Service Pack 2 de Windows XPPack 2 de Windows XP
Cyril VOISINCyril VOISINChef de programme Chef de programme SécuritéSécuritéMicrosoft FranceMicrosoft France
SommaireSommaire
MotivationMotivation
Les 4 grandes classesLes 4 grandes classesProtection réseauProtection réseau
Navigation InternetNavigation Internet
Messagerie et messagerie instantanéeMessagerie et messagerie instantanée
Protection mémoireProtection mémoire
Autres améliorationsAutres améliorations
Prolifération des correctifsProlifération des correctifs
Temps avant exploitation en Temps avant exploitation en baissebaisse
Exploitations plusExploitations plussophistiquéesophistiquée
L’approche classique n’est L’approche classique n’est pas suffisantepas suffisante
La sécurité est notre priorité n°1La sécurité est notre priorité n°1Il n’y a pas de remède miracleIl n’y a pas de remède miracle
Le changement nécessite des innovationsLe changement nécessite des innovations
151151180180
331331
Blaster
Blaster
Welchia/ Nachi
Welchia/ Nachi
NimdaNimda
2525
SQL Slammer
SQL Slammer
Nombre de jours Nombre de jours entre le correctif et entre le correctif et
l’exploitationl’exploitation
ConstatsConstatsOctobre 2003Octobre 2003
Réponses pour améliorer la Réponses pour améliorer la sécuritésécurité
Faire tendre vers 0 le nombre de vulnérabilitésFaire tendre vers 0 le nombre de vulnérabilités
Améliorer la gestion des correctifs de sécuritéAméliorer la gestion des correctifs de sécurité
Diminuer la vulnérabilité résultante, sans Diminuer la vulnérabilité résultante, sans application de correctifapplication de correctif
Fournir des guides et formationsFournir des guides et formations
Sensibiliser les utilisateursSensibiliser les utilisateurs
Windows XP Service Pack Windows XP Service Pack 22
Cumulatif des mises à jour post SP1 Cumulatif des mises à jour post SP1 http://go.microsoft.com/fwlink/?linkId=20403http://go.microsoft.com/fwlink/?linkId=20403 Pour autant, ce n’est pas un Service Pack Pour autant, ce n’est pas un Service Pack classiqueclassique
Ingénierie proactive plutôt que réactive en Ingénierie proactive plutôt que réactive en renforçant la sécurité par des moyens renforçant la sécurité par des moyens préventifs permettant de bloquer des classes préventifs permettant de bloquer des classes d’attaquesd’attaques
Réduction de la surface d’attaqueRéduction de la surface d’attaqueRenforcement des capacités de défense en profondeurRenforcement des capacités de défense en profondeurMeilleure sécurité par défautMeilleure sécurité par défautMeilleure gestion des correctifs de sécuritéMeilleure gestion des correctifs de sécuritéDiminution du fardeau des décisions de sécurité pour Diminution du fardeau des décisions de sécurité pour l’utilisateurl’utilisateur
Approche bouclier pour diminuer les attaques Approche bouclier pour diminuer les attaques possibles et faire en sorte que 7 correctifs sur possibles et faire en sorte que 7 correctifs sur 10 déployables à votre rythme10 déployables à votre rythme
Windows XP Service Pack Windows XP Service Pack 22
Focus sur 4 grands types d’attaqueFocus sur 4 grands types d’attaqueRéseau (pare-feu amélioré / Réseau (pare-feu amélioré / configuration réseau RPC DCOM configuration réseau RPC DCOM renforcée)renforcée)
Messagerie électronique et messagerie Messagerie électronique et messagerie instantanée (pièces jointes) instantanée (pièces jointes)
Navigation Internet (ActiveX, pop-up)Navigation Internet (ActiveX, pop-up)
Mémoire Mémoire (protection de la mémoire (protection de la mémoire améliorée contre les améliorée contre les Buffer overflowsBuffer overflows))
Autres améliorations liées à la Autres améliorations liées à la maintenance de la sécuritémaintenance de la sécurité
Protection réseauProtection réseauProtection réseauProtection réseau
Pare-feu WindowsPare-feu WindowsRPC / DCOMRPC / DCOM
Activé par défaut sur toutes Activé par défaut sur toutes les interfaces (LAN, modem, les interfaces (LAN, modem, VPN, Wi-Fi,…) VPN, Wi-Fi,…)
Réseau d’entreprise
Protection lors du Protection lors du démarrage avec règle démarrage avec règle statique par défaut statique par défaut (sauf si désactivé) : (sauf si désactivé) : seuls DNS, DHCP et seuls DNS, DHCP et Netlogon sont Netlogon sont autorisés jusqu’à ce autorisés jusqu’à ce que le pare-feu ait que le pare-feu ait démarrédémarré
Détecte Détecte automatiquement la automatiquement la connexion au réseau connexion au réseau d’entreprise et utilise la d’entreprise et utilise la configuration configuration correspondante (profil correspondante (profil du domaine vs profil du domaine vs profil standard)standard)
Internet
Restriction de certains Restriction de certains services au réseau local services au réseau local ou à une certaine ou à une certaine étendue (adresses étendue (adresses sources)sources)
Pare-feu activé en Pare-feu activé en permanencepermanence
Pare-feu WindowsPare-feu Windows
3 modes opérationnels3 modes opérationnelsActivé (trafic entrant autorisé = exception)Activé (trafic entrant autorisé = exception)Activé sans exception (plus de trafic entrant non sollicité, Activé sans exception (plus de trafic entrant non sollicité, conservation des réglages)conservation des réglages)DésactivéDésactivé
Configuration globale (réglage par interface Configuration globale (réglage par interface possible)possible)Liste d’exceptions Liste d’exceptions Ouverture statique de portsOuverture statique de portsConfig d’options ICMPConfig d’options ICMPSimplification des réglages (ex : partage de Simplification des réglages (ex : partage de fichiers)fichiers)Journalisation des paquets rejetés et des Journalisation des paquets rejetés et des connexions réussiesconnexions réussiesSupport de IPv6Support de IPv6
Gestion du pare-feu Gestion du pare-feu WindowsWindowsInterface Interface utilisateurutilisateur
Ligne de commande Ligne de commande (Netsh)(Netsh)
Stratégie de Stratégie de groupegroupe
APIAPIFichier Fichier d’installation d’installation unattendedunattended
Pare-feu WindowsPare-feu WindowsStratégies de groupeStratégies de groupe
Mise à jour de system.adm (en éditant une Mise à jour de system.adm (en éditant une GPO depuis un poste XPSP2, les nouveaux GPO depuis un poste XPSP2, les nouveaux paramètres SP2 seront ajoutés à la GPO paramètres SP2 seront ajoutés à la GPO éditée)éditée)GPO et cohabitation SP1 et SP2GPO et cohabitation SP1 et SP2
Avant : Modèles d’administration\Réseau\Avant : Modèles d’administration\Réseau\Connexions réseauConnexions réseau
Interdire l’utilisation de pare-feu de connexion Internet Interdire l’utilisation de pare-feu de connexion Internet sur le réseau de votre domaine DNSsur le réseau de votre domaine DNS
Maintenant (nouvelles GPO) : Configuration Maintenant (nouvelles GPO) : Configuration ordinateur\Modèles d’administration\Réseau\ordinateur\Modèles d’administration\Réseau\Connexions réseau\Pare-feu Windows\Profil Connexions réseau\Pare-feu Windows\Profil standard (ou Profil du domaine)standard (ou Profil du domaine)
Protéger toutes les connexions réseauProtéger toutes les connexions réseauN’autoriser aucune exceptionN’autoriser aucune exceptionEmpêcher les notificationsEmpêcher les notifications……
Pare-feu WindowsPare-feu Windows
Liste des exceptionsListe des exceptionsDans les versions précédentes, les applications Dans les versions précédentes, les applications devaient demander explicitement l’ouverture devaient demander explicitement l’ouverture d’un port (API)d’un port (API)Or, les ports ne sont pas toujours connus à Or, les ports ne sont pas toujours connus à l’avancel’avanceNouvelles fonctionnalité : toute application Nouvelles fonctionnalité : toute application ajoutée à la liste ouvrira les ports nécessaires ajoutée à la liste ouvrira les ports nécessaires quel que soit le contexte de sécuritéquel que soit le contexte de sécuritéLa manipulation de la liste demande les La manipulation de la liste demande les privilèges administrateursprivilèges administrateursStratégies de groupeStratégies de groupe
Définir les exceptions de portDéfinir les exceptions de portAutoriser les exceptions de ports locaux (permet aux Autoriser les exceptions de ports locaux (permet aux administrateurs locaux d’ajouter des exceptions)administrateurs locaux d’ajouter des exceptions)
Pare-feu WindowsPare-feu Windows
Support broadcast et multicast Support broadcast et multicast Les trafics de broadcast et de multicast Les trafics de broadcast et de multicast sont différents de l’unicast car la sont différents de l’unicast car la réponse provient d’un hôte inconnuréponse provient d’un hôte inconnu
La pare-feu autorise une réponse La pare-feu autorise une réponse unicast pendant 3 secondes depuis unicast pendant 3 secondes depuis n’importe quelle adresse source avec le n’importe quelle adresse source avec le même port que celui duquel le trafic a même port que celui duquel le trafic a été émisété émis
Stratégie de groupe : empêcher les Stratégie de groupe : empêcher les réponses monodiffusion pour des réponses monodiffusion pour des requêtes multidiffusion ou diffusionrequêtes multidiffusion ou diffusion
Pare-feu WindowsPare-feu Windows
Profils multiples Profils multiples Chaque profil correspond à un Chaque profil correspond à un paramétrageparamétrageL’un pour le réseau d’entreprise L’un pour le réseau d’entreprise (domaine), l’autre pour les autres réseaux (domaine), l’autre pour les autres réseaux (ex : hôtel, hotspot)(ex : hôtel, hotspot)
Si aucun contrôleur de domaine sur le réseau : Si aucun contrôleur de domaine sur le réseau : profil profil standardstandardSinon profil Sinon profil domainedomaine
Attention : nécessite un domaine (les Attention : nécessite un domaine (les machines en groupe de travail n’ont machines en groupe de travail n’ont qu’un seul profil)qu’un seul profil)Recommandation : configurer les 2 profilsRecommandation : configurer les 2 profils
Utilisateurs administrateurs Utilisateurs administrateurs locauxlocaux
Si vos utilisateurs sont administrateurs Si vos utilisateurs sont administrateurs locaux de leurs machines et si vous locaux de leurs machines et si vous craignez qu’ils puissent installer le SP2 craignez qu’ils puissent installer le SP2 de leur propre chef, vous pouvez de leur propre chef, vous pouvez désactiver le pare-feu a priori en créant désactiver le pare-feu a priori en créant les clés de registreles clés de registre
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\FirewallPolicy\DomainProfile \Microsoft\FirewallPolicy\DomainProfile \EnableFirewall=0 (DWORD) EnableFirewall=0 (DWORD) HKEY_LOCAL_MACHINE\SOFTWARE\Policies\HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\FirewallPolicy\StandardProfile \Microsoft\FirewallPolicy\StandardProfile \EnableFirewall=0 (DWORD) EnableFirewall=0 (DWORD)
Déploiement du pare-feu Déploiement du pare-feu sans les stratégies de sans les stratégies de groupegroupeNetfw.inf à l’installationNetfw.inf à l’installation
http://www.microsoft.com/downloads/dethttp://www.microsoft.com/downloads/details.aspx?familyid=cb307a1d-2f97-4e63-ails.aspx?familyid=cb307a1d-2f97-4e63-a581-bf25685b4c43&displaylang=ena581-bf25685b4c43&displaylang=en
%windir%\Inf\Netfw.inf%windir%\Inf\Netfw.inf
netsh firewall resetnetsh firewall reset
Script netsh après l’installationScript netsh après l’installationnetsh firewall set portopening UDP 1434 Slammernetsh firewall set portopening UDP 1434 Slammer
Amélioration RPC / DCOMAmélioration RPC / DCOM
Restriction RPCRestriction RPCS’exécute avec des privilèges moindreS’exécute avec des privilèges moindre
Requière une authentification sur les interfaces Requière une authentification sur les interfaces par défaut (clé de registre par défaut (clé de registre RestrictRemoteClients)RestrictRemoteClients)
Possibilité de restreindre à la machine locale Possibilité de restreindre à la machine locale par programmationpar programmation
Désactivation de RPC via UDP par défautDésactivation de RPC via UDP par défaut
Restriction DCOMRestriction DCOMS’exécute avec des privilèges moindreS’exécute avec des privilèges moindre
Contrôle d’accès plus stricte et paramétrable Contrôle d’accès plus stricte et paramétrable via le registre (accès, lancement, activation)via le registre (accès, lancement, activation)
Navigation Internet Navigation Internet plus sureplus sureNavigation Internet Navigation Internet plus sureplus sure
Les zones de sécurité d’IELes zones de sécurité d’IEZone Poste de travailZone Poste de travail
Non montrée dans l’interface Non montrée dans l’interface utilisateurutilisateurTout contenu HTML sur la Tout contenu HTML sur la machine localemachine localeNiveau de sécurité Faible pour Niveau de sécurité Faible pour supporter les applications supporter les applications HTMLHTML
Sites de confianceSites de confianceNiveau de sécurité : FaibleNiveau de sécurité : Faible
Intranet localIntranet localMachines dans votre domaineMachines dans votre domaineNiveau de sécurité : Niveau de sécurité : moyennement basmoyennement bas
InternetInternetNoms FQDNNoms FQDNNiveau de sécurité : MoyenNiveau de sécurité : Moyen
Sites sensiblesSites sensiblesUtilisé par les applications Utilisé par les applications pour manipuler des e-mail pour manipuler des e-mail HTML avec un niveau de HTML avec un niveau de sécurité Hautsécurité Haut
Navigation plus sureNavigation plus sure
Verrouillage des zones Poste de travail et Verrouillage des zones Poste de travail et intranetintranetAmélioration de la notification pour Amélioration de la notification pour l’exécution et l’installation d’applications l’exécution et l’installation d’applications ou de contrôles ActiveXou de contrôles ActiveXÉviter l’usurpation d’interface graphiqueÉviter l’usurpation d’interface graphiqueBloqueur d’éléments contextuels (pop-Bloqueur d’éléments contextuels (pop-ups!) ups!)
Bloque les pop-ups non sollicitésBloque les pop-ups non sollicitésPeut permettre des pop-ups pour certains Peut permettre des pop-ups pour certains domaines (ex: intranet)domaines (ex: intranet)Les fenêtres ouvertes par un clic de l’utilisateur Les fenêtres ouvertes par un clic de l’utilisateur ne sont pas restreintesne sont pas restreintes
Verrouillage de la zone Poste Verrouillage de la zone Poste de travailde travail
Avant le SP2 : les fichiers de la Avant le SP2 : les fichiers de la machine locale et le contenu associé machine locale et le contenu associé n’avaient pas de zonen’avaient pas de zone
Désormais, tout le contenu local est Désormais, tout le contenu local est dans le contexte de sécurité de la dans le contexte de sécurité de la zone Poste de travail (afin d’éviter les zone Poste de travail (afin d’éviter les tentatives d’élévation de privilèges)tentatives d’élévation de privilèges)
Gérer les modules Gérer les modules complémentairescomplémentaires
Visualisation et contrôle des modules Visualisation et contrôle des modules complémentaires chargéscomplémentaires chargés
L’administrateur peut établir la liste L’administrateur peut établir la liste des modules complémentaires des modules complémentaires autorisés et interditsautorisés et interdits
Attention : ces modules peuvent toujours Attention : ces modules peuvent toujours être appelés par d’autres composants, être appelés par d’autres composants, d’où l’importance de gérer l’inclusion de d’où l’importance de gérer l’inclusion de modules complémentairesmodules complémentaires
Comportements binaires; Comportements binaires; cachecache
Comportements binaires Comportements binaires Composants qui encapsulent certaines Composants qui encapsulent certaines fonctionnalités pour des éléments HTMLfonctionnalités pour des éléments HTMLPréalablement non contrôlés, peuvent Préalablement non contrôlés, peuvent maintenant être restreints par zonemaintenant être restreints par zoneEn particulier, Sites sensiblesEn particulier, Sites sensibles
Mise en cache des objetsMise en cache des objetsAuparavant : des objets pouvaient être mis en Auparavant : des objets pouvaient être mis en cache pour donner accès à des contenus d’une cache pour donner accès à des contenus d’une autre page Web (le navigateur affiche du autre page Web (le navigateur affiche du contenu et des objets de 2 sites)contenu et des objets de 2 sites)Problème : l’objet en cache (script) pouvait Problème : l’objet en cache (script) pouvait écouter des événements dans un autre écouter des événements dans un autre frame frame (carte de crédit)(carte de crédit)Erreurs « Accès refusé ». L’objet doit être remis Erreurs « Accès refusé ». L’objet doit être remis en cache avant de pouvoir être accédé par en cache avant de pouvoir être accédé par scriptscript
Types MIMETypes MIME
Le type MIME (Le type MIME (Multipurpose Internet Mail Multipurpose Internet Mail ExtensionsExtensions) détermine la façon dont un ) détermine la façon dont un contenu est manipulécontenu est manipulé
Ex : une image est affichée alors qu’un Ex : une image est affichée alors qu’un exécutable provoquera une boîte de dialogue exécutable provoquera une boîte de dialogue de téléchargementde téléchargement
Nouvelles règles pour éviter l’usurpation Nouvelles règles pour éviter l’usurpation de type MIMEde type MIMELe MIME « sniff » déterminera si un fichier Le MIME « sniff » déterminera si un fichier est un exécutable déguisé (signature de est un exécutable déguisé (signature de bits). Tous les fichiers ainsi détectés auront bits). Tous les fichiers ainsi détectés auront leur extension modifiée et seront leur extension modifiée et seront enregistrés dans le cacheenregistrés dans le cacheImportant : correspondance sur le sites des Important : correspondance sur le sites des entêtes et des extensionsentêtes et des extensions
Éditeurs de confianceÉditeurs de confiance
Une seule boîte de Une seule boîte de dialogue par ActiveX et dialogue par ActiveX et par page (pour que par page (pour que l’utilisateur n’accepte l’utilisateur n’accepte pas par résignation pas par résignation suite à de multiples suite à de multiples demandes) demandes) Auparavant : option de Auparavant : option de toujours faire confiance toujours faire confiance à un éditeurà un éditeurMaintenant : option Maintenant : option inverse aussi disponibleinverse aussi disponibleLa description de La description de l’application et du nom l’application et du nom de l’éditeur sont de l’éditeur sont affichés pour éviter les affichés pour éviter les confusions (faux CLUF)confusions (faux CLUF)
Restrictions sur les Restrictions sur les fenêtresfenêtres
Interdiction de créer une fenêtre pop-Interdiction de créer une fenêtre pop-up sans la barre d’adresse, la barre up sans la barre d’adresse, la barre de titre et la barre d’outilsde titre et la barre d’outils
Interdiction de déplacement d’une Interdiction de déplacement d’une fenêtre par script en dehors de la fenêtre par script en dehors de la zone visible par l’utilisateurzone visible par l’utilisateur
Blocage de l’élévation de Blocage de l’élévation de zonezone
Empêche la Empêche la modification des modification des paramètres de paramètres de sécurité depuis un sécurité depuis un contenu qui s’exécute contenu qui s’exécute dans une zone dans une zone inférieureinférieure
Les pages Web qui Les pages Web qui appelles d’autres appelles d’autres pages plus privilégiées pages plus privilégiées échouent (une page échouent (une page dans la zone Internet dans la zone Internet ne peut pas naviguer ne peut pas naviguer vers une page de la vers une page de la zone Poste de travail)zone Poste de travail)
En navigant d’une En navigant d’une zone peu privilégiée zone peu privilégiée vers…vers…
..IE aura le ..IE aura le comportement comportement suivantsuivant
Poste de travailPoste de travail BlocageBlocage
Sites de confianceSites de confiance DemandeDemande
Intranet localIntranet local DemandeDemande
InternetInternet AutorisationAutorisation
Sites sensiblesSites sensibles AutorisationAutorisation
Nouvelles stratégies de Nouvelles stratégies de groupe (GPO) groupe (GPO)
Configuration utilisateur\Modèles Configuration utilisateur\Modèles d’administration\Composants Windows\d’administration\Composants Windows\Internet ExplorerInternet Explorer
Gestion des modules complémentaires : ModeGestion des modules complémentaires : Mode……
Configuration utilisateur\Modèles Configuration utilisateur\Modèles d’administration\Composants Windows\d’administration\Composants Windows\Internet Explorer\Panneau de configuration Internet Explorer\Panneau de configuration de Internet\Onglet Sécuritéde Internet\Onglet SécuritéConfiguration utilisateur\Modèles Configuration utilisateur\Modèles d’administration\Composants Windows\d’administration\Composants Windows\Internet Explorer\Panneau\Fonctionnalités Internet Explorer\Panneau\Fonctionnalités de sécuritéde sécurité
Internet Explorer, Tous les processus ou Liste Internet Explorer, Tous les processus ou Liste des processusdes processus
Messagerie et Messagerie et messagerie messagerie instantanée plus instantanée plus suressures
Messagerie et Messagerie et messagerie messagerie instantanée plus instantanée plus suressures
Pièces jointesPièces jointes
Gestion des pièces jointesGestion des pièces jointesPour gérer en un point unique la notion de Pour gérer en un point unique la notion de confiance en un type de pièce jointeconfiance en un type de pièce jointePour permettre aux applications d’avoir un moyen Pour permettre aux applications d’avoir un moyen cohérent de déterminer les pièces jointes cohérent de déterminer les pièces jointes dangereusesdangereuses
Création d’une API publique de gestion des Création d’une API publique de gestion des pièces jointes (Attachment Execution pièces jointes (Attachment Execution Services) au niveau du système pour une Services) au niveau du système pour une gestion cohérente pour toutes les applicationsgestion cohérente pour toutes les applicationsPar défaut : tout est considéré comme Par défaut : tout est considéré comme dangereuxdangereuxOutlook Express, Windows Messenger, Outlook Express, Windows Messenger, Internet Explorer utilisent la nouvelle APIInternet Explorer utilisent la nouvelle APIOuverture et exécution avec le minimum de Ouverture et exécution avec le minimum de privilègesprivilèges
Outlook ExpressOutlook Express
Aperçu de Aperçu de message plus sûrmessage plus sûrAméliorations dans Améliorations dans OE comparables à OE comparables à celles d’Outlook celles d’Outlook 2003 2003
E-mail HTML en E-mail HTML en zone Sites sensibleszone Sites sensiblesNon Non téléchargement du téléchargement du contenu HTML contenu HTML externeexterneProtection du carnet Protection du carnet d’adressesd’adressesProtection contre le Protection contre le contenu exécutablecontenu exécutable
Protection mémoireProtection mémoireProtection mémoireProtection mémoire
Réduction de Réduction de l’exposition à certains l’exposition à certains buffer overflowsbuffer overflows
Compilation avec /GS Compilation avec /GS (Visual Studio 2003)(Visual Studio 2003)
Sens croissant des adresses
Buffers Autres vars
EB
P
EIP Args
Une pile normale
Buffers Autres varsEB
P
EIP Args
cookie
Pile VC++ 2002 (avec /GS)
BuffersAutres vars
EB
P
EIP Args
cookie
Pile VC++ 2003 (avec /GS et les safe exceptions)
Prévention de l’exécution Prévention de l’exécution des donnéesdes données
Prise en charge de la Prise en charge de la protection matérielle protection matérielle contre l’exécution (NX contre l’exécution (NX : No Execute) des : No Execute) des processeurs récents processeurs récents (AMD64 / Itanium) (AMD64 / Itanium)
Seules les régions de Seules les régions de mémoire marquées mémoire marquées explicitement pour explicitement pour l’exécution peuvent l’exécution peuvent s’exécuter (mode noyau s’exécuter (mode noyau et mode utilisateur)et mode utilisateur)Activé par défaut pour Activé par défaut pour les binaires Windowsles binaires WindowsAttention : applications Attention : applications de type compilateur de type compilateur juste à tempsjuste à temps
Autres améliorationsAutres améliorationsAutres améliorationsAutres améliorations
Autres améliorationsAutres améliorations
Mises à jour automatiqueMises à jour automatiqueÉcran modal lors de l’installation sauf siÉcran modal lors de l’installation sauf si
““AutomaticUpdates=1” in the “[Data]” section of the AutomaticUpdates=1” in the “[Data]” section of the UNATTEND.TXTUNATTEND.TXT
GPOGPO
Déjà réglé pour installation planifiéeDéjà réglé pour installation planifiée
Client pour Windows Update Services (SUS2)Client pour Windows Update Services (SUS2)
Gestion de la reprise du téléchargement d’un Gestion de la reprise du téléchargement d’un correctif interrompu ou incompletcorrectif interrompu ou incomplet
Note : son réglage n’est pas modifié par SysprepNote : son réglage n’est pas modifié par Sysprep
Windows Update v5Windows Update v5
MSI 3.0MSI 3.0
Autres améliorationsAutres améliorations
Réduction de la surface d’attaque : Réduction de la surface d’attaque : désactivation du service Windows désactivation du service Windows Messenger (pop-up Windows) et Messenger (pop-up Windows) et AlerterAlerter
AutresAutresWindows Media Player 9Windows Media Player 9
DirectX 9.0bDirectX 9.0b
Bluetooth 2.0Bluetooth 2.0
Nouveau client WLAN universelNouveau client WLAN universel
Centre de sécuritéCentre de sécurité
Outil de suivi des 3 Outil de suivi des 3 étapes de étapes de protection des PCprotection des PC
Pare-feuPare-feu
Mise à jour Mise à jour automatiqueautomatique
Antivirus à jourAntivirus à jour
ConclusionConclusion
Une étape dans le voyage vers des plateformes, Une étape dans le voyage vers des plateformes, applications et périphériques sécurisésapplications et périphériques sécurisésPermettra une meilleure protectionPermettra une meilleure protection
Vous donnant du temps pour la gestion des correctifs de Vous donnant du temps pour la gestion des correctifs de sécuritésécuritéLimitant l’impact des vers et des virusLimitant l’impact des vers et des virusAugmentant la difficulté pour les attaquantsAugmentant la difficulté pour les attaquants
Large diminution de classes de vulnérabilités (vs Large diminution de classes de vulnérabilités (vs correction ponctuelle)correction ponctuelle)
Attaques réseauAttaques réseauAttaques d’ingénierie socialeAttaques d’ingénierie socialeBuffer overflowsBuffer overflows
Contrôle administratif des changementsContrôle administratif des changementsStratégie de groupe, scripts en ligne de commande, Stratégie de groupe, scripts en ligne de commande, registreregistre
Informations disponiblesInformations disponibles
Preview : Preview : http://http://www.microsoft.comwww.microsoft.com/sp2preview/sp2previewChanges to Functionality in Microsoft Windows Changes to Functionality in Microsoft Windows XP Service Pack 2 XP Service Pack 2 http://www.microsoft.com/technet/prodtechnol/whttp://www.microsoft.com/technet/prodtechnol/winxppro/maintain/winxpsp2.aspinxppro/maintain/winxpsp2.aspDeploying Internet Connection Firewall Settings Deploying Internet Connection Firewall Settings for Microsoft® Windows® XP with Service Pack for Microsoft® Windows® XP with Service Pack 22
http://www.microsoft.com/downloads/http://www.microsoft.com/downloads/details.aspx?FamilyIDdetails.aspx?FamilyID=4454e0e1-61fa-447a-bdcd-499f73a637d1&DisplayLa=4454e0e1-61fa-447a-bdcd-499f73a637d1&DisplayLang=enng=en
Windows XP Service Pack 2 White Paper Windows XP Service Pack 2 White Paper OverviewOverview
http://http://download.microsoft.comdownload.microsoft.com//downloaddownload/6/6/c/66c20c86-dcbe-4dde-bbf2-ab1fe9130a97//6/6/c/66c20c86-dcbe-4dde-bbf2-ab1fe9130a97/windowswindows%20xp%20sp%202%20white%20paper.doc%20xp%20sp%202%20white%20paper.doc
Autres ressourcesAutres ressources
Atelier Windows XP Service Pack 2Atelier Windows XP Service Pack 2
WebcastWebcast