Nouveautés en matière Nouveautés en matière de sécurité du Service de sécurité du Service Pack 2 de Windows XPPack 2 de Windows XP

Nouveautés en matière Nouveautés en matière de sécurité du Service de sécurité du Service Pack 2 de Windows XPPack 2 de Windows XP

Cyril VOISINCyril VOISINChef de programme Chef de programme SécuritéSécuritéMicrosoft FranceMicrosoft France

SommaireSommaire

MotivationMotivation

Les 4 grandes classesLes 4 grandes classesProtection réseauProtection réseau

Navigation InternetNavigation Internet

Messagerie et messagerie instantanéeMessagerie et messagerie instantanée

Protection mémoireProtection mémoire

Autres améliorationsAutres améliorations

Prolifération des correctifsProlifération des correctifs

Temps avant exploitation en Temps avant exploitation en baissebaisse

Exploitations plusExploitations plussophistiquéesophistiquée

L’approche classique n’est L’approche classique n’est pas suffisantepas suffisante

La sécurité est notre priorité n°1La sécurité est notre priorité n°1Il n’y a pas de remède miracleIl n’y a pas de remède miracle

Le changement nécessite des innovationsLe changement nécessite des innovations

151151180180

331331

Blaster

Blaster

Welchia/ Nachi

Welchia/ Nachi

NimdaNimda

2525

SQL Slammer

SQL Slammer

Nombre de jours Nombre de jours entre le correctif et entre le correctif et

l’exploitationl’exploitation

ConstatsConstatsOctobre 2003Octobre 2003

Réponses pour améliorer la Réponses pour améliorer la sécuritésécurité

Faire tendre vers 0 le nombre de vulnérabilitésFaire tendre vers 0 le nombre de vulnérabilités

Améliorer la gestion des correctifs de sécuritéAméliorer la gestion des correctifs de sécurité

Diminuer la vulnérabilité résultante, sans Diminuer la vulnérabilité résultante, sans application de correctifapplication de correctif

Fournir des guides et formationsFournir des guides et formations

Sensibiliser les utilisateursSensibiliser les utilisateurs

Windows XP Service Pack Windows XP Service Pack 22

Cumulatif des mises à jour post SP1 Cumulatif des mises à jour post SP1 http://go.microsoft.com/fwlink/?linkId=20403http://go.microsoft.com/fwlink/?linkId=20403 Pour autant, ce n’est pas un Service Pack Pour autant, ce n’est pas un Service Pack classiqueclassique

Ingénierie proactive plutôt que réactive en Ingénierie proactive plutôt que réactive en renforçant la sécurité par des moyens renforçant la sécurité par des moyens préventifs permettant de bloquer des classes préventifs permettant de bloquer des classes d’attaquesd’attaques

Réduction de la surface d’attaqueRéduction de la surface d’attaqueRenforcement des capacités de défense en profondeurRenforcement des capacités de défense en profondeurMeilleure sécurité par défautMeilleure sécurité par défautMeilleure gestion des correctifs de sécuritéMeilleure gestion des correctifs de sécuritéDiminution du fardeau des décisions de sécurité pour Diminution du fardeau des décisions de sécurité pour l’utilisateurl’utilisateur

Approche bouclier pour diminuer les attaques Approche bouclier pour diminuer les attaques possibles et faire en sorte que 7 correctifs sur possibles et faire en sorte que 7 correctifs sur 10 déployables à votre rythme10 déployables à votre rythme

Windows XP Service Pack Windows XP Service Pack 22

Focus sur 4 grands types d’attaqueFocus sur 4 grands types d’attaqueRéseau (pare-feu amélioré / Réseau (pare-feu amélioré / configuration réseau RPC DCOM configuration réseau RPC DCOM renforcée)renforcée)

Messagerie électronique et messagerie Messagerie électronique et messagerie instantanée (pièces jointes) instantanée (pièces jointes)

Navigation Internet (ActiveX, pop-up)Navigation Internet (ActiveX, pop-up)

Mémoire Mémoire (protection de la mémoire (protection de la mémoire améliorée contre les améliorée contre les Buffer overflowsBuffer overflows))

Autres améliorations liées à la Autres améliorations liées à la maintenance de la sécuritémaintenance de la sécurité

Protection réseauProtection réseauProtection réseauProtection réseau

Pare-feu WindowsPare-feu WindowsRPC / DCOMRPC / DCOM

Activé par défaut sur toutes Activé par défaut sur toutes les interfaces (LAN, modem, les interfaces (LAN, modem, VPN, Wi-Fi,…) VPN, Wi-Fi,…)

Réseau d’entreprise

Protection lors du Protection lors du démarrage avec règle démarrage avec règle statique par défaut statique par défaut (sauf si désactivé) : (sauf si désactivé) : seuls DNS, DHCP et seuls DNS, DHCP et Netlogon sont Netlogon sont autorisés jusqu’à ce autorisés jusqu’à ce que le pare-feu ait que le pare-feu ait démarrédémarré

Détecte Détecte automatiquement la automatiquement la connexion au réseau connexion au réseau d’entreprise et utilise la d’entreprise et utilise la configuration configuration correspondante (profil correspondante (profil du domaine vs profil du domaine vs profil standard)standard)

Internet

Restriction de certains Restriction de certains services au réseau local services au réseau local ou à une certaine ou à une certaine étendue (adresses étendue (adresses sources)sources)

Pare-feu activé en Pare-feu activé en permanencepermanence

Pare-feu WindowsPare-feu Windows

3 modes opérationnels3 modes opérationnelsActivé (trafic entrant autorisé = exception)Activé (trafic entrant autorisé = exception)Activé sans exception (plus de trafic entrant non sollicité, Activé sans exception (plus de trafic entrant non sollicité, conservation des réglages)conservation des réglages)DésactivéDésactivé

Configuration globale (réglage par interface Configuration globale (réglage par interface possible)possible)Liste d’exceptions Liste d’exceptions Ouverture statique de portsOuverture statique de portsConfig d’options ICMPConfig d’options ICMPSimplification des réglages (ex : partage de Simplification des réglages (ex : partage de fichiers)fichiers)Journalisation des paquets rejetés et des Journalisation des paquets rejetés et des connexions réussiesconnexions réussiesSupport de IPv6Support de IPv6

Gestion du pare-feu Gestion du pare-feu WindowsWindowsInterface Interface utilisateurutilisateur

Ligne de commande Ligne de commande (Netsh)(Netsh)

Stratégie de Stratégie de groupegroupe

APIAPIFichier Fichier d’installation d’installation unattendedunattended

Pare-feu WindowsPare-feu WindowsStratégies de groupeStratégies de groupe

Mise à jour de system.adm (en éditant une Mise à jour de system.adm (en éditant une GPO depuis un poste XPSP2, les nouveaux GPO depuis un poste XPSP2, les nouveaux paramètres SP2 seront ajoutés à la GPO paramètres SP2 seront ajoutés à la GPO éditée)éditée)GPO et cohabitation SP1 et SP2GPO et cohabitation SP1 et SP2

Avant : Modèles d’administration\Réseau\Avant : Modèles d’administration\Réseau\Connexions réseauConnexions réseau

Interdire l’utilisation de pare-feu de connexion Internet Interdire l’utilisation de pare-feu de connexion Internet sur le réseau de votre domaine DNSsur le réseau de votre domaine DNS

Maintenant (nouvelles GPO) : Configuration Maintenant (nouvelles GPO) : Configuration ordinateur\Modèles d’administration\Réseau\ordinateur\Modèles d’administration\Réseau\Connexions réseau\Pare-feu Windows\Profil Connexions réseau\Pare-feu Windows\Profil standard (ou Profil du domaine)standard (ou Profil du domaine)

Protéger toutes les connexions réseauProtéger toutes les connexions réseauN’autoriser aucune exceptionN’autoriser aucune exceptionEmpêcher les notificationsEmpêcher les notifications……

Pare-feu WindowsPare-feu Windows

Liste des exceptionsListe des exceptionsDans les versions précédentes, les applications Dans les versions précédentes, les applications devaient demander explicitement l’ouverture devaient demander explicitement l’ouverture d’un port (API)d’un port (API)Or, les ports ne sont pas toujours connus à Or, les ports ne sont pas toujours connus à l’avancel’avanceNouvelles fonctionnalité : toute application Nouvelles fonctionnalité : toute application ajoutée à la liste ouvrira les ports nécessaires ajoutée à la liste ouvrira les ports nécessaires quel que soit le contexte de sécuritéquel que soit le contexte de sécuritéLa manipulation de la liste demande les La manipulation de la liste demande les privilèges administrateursprivilèges administrateursStratégies de groupeStratégies de groupe

Définir les exceptions de portDéfinir les exceptions de portAutoriser les exceptions de ports locaux (permet aux Autoriser les exceptions de ports locaux (permet aux administrateurs locaux d’ajouter des exceptions)administrateurs locaux d’ajouter des exceptions)

Pare-feu WindowsPare-feu Windows

Support broadcast et multicast Support broadcast et multicast Les trafics de broadcast et de multicast Les trafics de broadcast et de multicast sont différents de l’unicast car la sont différents de l’unicast car la réponse provient d’un hôte inconnuréponse provient d’un hôte inconnu

La pare-feu autorise une réponse La pare-feu autorise une réponse unicast pendant 3 secondes depuis unicast pendant 3 secondes depuis n’importe quelle adresse source avec le n’importe quelle adresse source avec le même port que celui duquel le trafic a même port que celui duquel le trafic a été émisété émis

Stratégie de groupe : empêcher les Stratégie de groupe : empêcher les réponses monodiffusion pour des réponses monodiffusion pour des requêtes multidiffusion ou diffusionrequêtes multidiffusion ou diffusion

Pare-feu WindowsPare-feu Windows

Profils multiples Profils multiples Chaque profil correspond à un Chaque profil correspond à un paramétrageparamétrageL’un pour le réseau d’entreprise L’un pour le réseau d’entreprise (domaine), l’autre pour les autres réseaux (domaine), l’autre pour les autres réseaux (ex : hôtel, hotspot)(ex : hôtel, hotspot)

Si aucun contrôleur de domaine sur le réseau : Si aucun contrôleur de domaine sur le réseau : profil profil standardstandardSinon profil Sinon profil domainedomaine

Attention : nécessite un domaine (les Attention : nécessite un domaine (les machines en groupe de travail n’ont machines en groupe de travail n’ont qu’un seul profil)qu’un seul profil)Recommandation : configurer les 2 profilsRecommandation : configurer les 2 profils

Utilisateurs administrateurs Utilisateurs administrateurs locauxlocaux

Si vos utilisateurs sont administrateurs Si vos utilisateurs sont administrateurs locaux de leurs machines et si vous locaux de leurs machines et si vous craignez qu’ils puissent installer le SP2 craignez qu’ils puissent installer le SP2 de leur propre chef, vous pouvez de leur propre chef, vous pouvez désactiver le pare-feu a priori en créant désactiver le pare-feu a priori en créant les clés de registreles clés de registre

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\FirewallPolicy\DomainProfile \Microsoft\FirewallPolicy\DomainProfile \EnableFirewall=0 (DWORD) EnableFirewall=0 (DWORD) HKEY_LOCAL_MACHINE\SOFTWARE\Policies\HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\FirewallPolicy\StandardProfile \Microsoft\FirewallPolicy\StandardProfile \EnableFirewall=0 (DWORD) EnableFirewall=0 (DWORD)

Déploiement du pare-feu Déploiement du pare-feu sans les stratégies de sans les stratégies de groupegroupeNetfw.inf à l’installationNetfw.inf à l’installation

http://www.microsoft.com/downloads/dethttp://www.microsoft.com/downloads/details.aspx?familyid=cb307a1d-2f97-4e63-ails.aspx?familyid=cb307a1d-2f97-4e63-a581-bf25685b4c43&displaylang=ena581-bf25685b4c43&displaylang=en

%windir%\Inf\Netfw.inf%windir%\Inf\Netfw.inf

netsh firewall resetnetsh firewall reset

Script netsh après l’installationScript netsh après l’installationnetsh firewall set portopening UDP 1434 Slammernetsh firewall set portopening UDP 1434 Slammer

Amélioration RPC / DCOMAmélioration RPC / DCOM

Restriction RPCRestriction RPCS’exécute avec des privilèges moindreS’exécute avec des privilèges moindre

Requière une authentification sur les interfaces Requière une authentification sur les interfaces par défaut (clé de registre par défaut (clé de registre RestrictRemoteClients)RestrictRemoteClients)

Possibilité de restreindre à la machine locale Possibilité de restreindre à la machine locale par programmationpar programmation

Désactivation de RPC via UDP par défautDésactivation de RPC via UDP par défaut

Restriction DCOMRestriction DCOMS’exécute avec des privilèges moindreS’exécute avec des privilèges moindre

Contrôle d’accès plus stricte et paramétrable Contrôle d’accès plus stricte et paramétrable via le registre (accès, lancement, activation)via le registre (accès, lancement, activation)

Navigation Internet Navigation Internet plus sureplus sureNavigation Internet Navigation Internet plus sureplus sure

Les zones de sécurité d’IELes zones de sécurité d’IEZone Poste de travailZone Poste de travail

Non montrée dans l’interface Non montrée dans l’interface utilisateurutilisateurTout contenu HTML sur la Tout contenu HTML sur la machine localemachine localeNiveau de sécurité Faible pour Niveau de sécurité Faible pour supporter les applications supporter les applications HTMLHTML

Sites de confianceSites de confianceNiveau de sécurité : FaibleNiveau de sécurité : Faible

Intranet localIntranet localMachines dans votre domaineMachines dans votre domaineNiveau de sécurité : Niveau de sécurité : moyennement basmoyennement bas

InternetInternetNoms FQDNNoms FQDNNiveau de sécurité : MoyenNiveau de sécurité : Moyen

Sites sensiblesSites sensiblesUtilisé par les applications Utilisé par les applications pour manipuler des e-mail pour manipuler des e-mail HTML avec un niveau de HTML avec un niveau de sécurité Hautsécurité Haut

Navigation plus sureNavigation plus sure

Verrouillage des zones Poste de travail et Verrouillage des zones Poste de travail et intranetintranetAmélioration de la notification pour Amélioration de la notification pour l’exécution et l’installation d’applications l’exécution et l’installation d’applications ou de contrôles ActiveXou de contrôles ActiveXÉviter l’usurpation d’interface graphiqueÉviter l’usurpation d’interface graphiqueBloqueur d’éléments contextuels (pop-Bloqueur d’éléments contextuels (pop-ups!) ups!)

Bloque les pop-ups non sollicitésBloque les pop-ups non sollicitésPeut permettre des pop-ups pour certains Peut permettre des pop-ups pour certains domaines (ex: intranet)domaines (ex: intranet)Les fenêtres ouvertes par un clic de l’utilisateur Les fenêtres ouvertes par un clic de l’utilisateur ne sont pas restreintesne sont pas restreintes

Verrouillage de la zone Poste Verrouillage de la zone Poste de travailde travail

Avant le SP2 : les fichiers de la Avant le SP2 : les fichiers de la machine locale et le contenu associé machine locale et le contenu associé n’avaient pas de zonen’avaient pas de zone

Désormais, tout le contenu local est Désormais, tout le contenu local est dans le contexte de sécurité de la dans le contexte de sécurité de la zone Poste de travail (afin d’éviter les zone Poste de travail (afin d’éviter les tentatives d’élévation de privilèges)tentatives d’élévation de privilèges)

Gérer les modules Gérer les modules complémentairescomplémentaires

Visualisation et contrôle des modules Visualisation et contrôle des modules complémentaires chargéscomplémentaires chargés

L’administrateur peut établir la liste L’administrateur peut établir la liste des modules complémentaires des modules complémentaires autorisés et interditsautorisés et interdits

Attention : ces modules peuvent toujours Attention : ces modules peuvent toujours être appelés par d’autres composants, être appelés par d’autres composants, d’où l’importance de gérer l’inclusion de d’où l’importance de gérer l’inclusion de modules complémentairesmodules complémentaires

Comportements binaires; Comportements binaires; cachecache

Comportements binaires Comportements binaires Composants qui encapsulent certaines Composants qui encapsulent certaines fonctionnalités pour des éléments HTMLfonctionnalités pour des éléments HTMLPréalablement non contrôlés, peuvent Préalablement non contrôlés, peuvent maintenant être restreints par zonemaintenant être restreints par zoneEn particulier, Sites sensiblesEn particulier, Sites sensibles

Mise en cache des objetsMise en cache des objetsAuparavant : des objets pouvaient être mis en Auparavant : des objets pouvaient être mis en cache pour donner accès à des contenus d’une cache pour donner accès à des contenus d’une autre page Web (le navigateur affiche du autre page Web (le navigateur affiche du contenu et des objets de 2 sites)contenu et des objets de 2 sites)Problème : l’objet en cache (script) pouvait Problème : l’objet en cache (script) pouvait écouter des événements dans un autre écouter des événements dans un autre frame frame (carte de crédit)(carte de crédit)Erreurs « Accès refusé ». L’objet doit être remis Erreurs « Accès refusé ». L’objet doit être remis en cache avant de pouvoir être accédé par en cache avant de pouvoir être accédé par scriptscript

Types MIMETypes MIME

Le type MIME (Le type MIME (Multipurpose Internet Mail Multipurpose Internet Mail ExtensionsExtensions) détermine la façon dont un ) détermine la façon dont un contenu est manipulécontenu est manipulé

Ex : une image est affichée alors qu’un Ex : une image est affichée alors qu’un exécutable provoquera une boîte de dialogue exécutable provoquera une boîte de dialogue de téléchargementde téléchargement

Nouvelles règles pour éviter l’usurpation Nouvelles règles pour éviter l’usurpation de type MIMEde type MIMELe MIME « sniff » déterminera si un fichier Le MIME « sniff » déterminera si un fichier est un exécutable déguisé (signature de est un exécutable déguisé (signature de bits). Tous les fichiers ainsi détectés auront bits). Tous les fichiers ainsi détectés auront leur extension modifiée et seront leur extension modifiée et seront enregistrés dans le cacheenregistrés dans le cacheImportant : correspondance sur le sites des Important : correspondance sur le sites des entêtes et des extensionsentêtes et des extensions

Éditeurs de confianceÉditeurs de confiance

Une seule boîte de Une seule boîte de dialogue par ActiveX et dialogue par ActiveX et par page (pour que par page (pour que l’utilisateur n’accepte l’utilisateur n’accepte pas par résignation pas par résignation suite à de multiples suite à de multiples demandes) demandes) Auparavant : option de Auparavant : option de toujours faire confiance toujours faire confiance à un éditeurà un éditeurMaintenant : option Maintenant : option inverse aussi disponibleinverse aussi disponibleLa description de La description de l’application et du nom l’application et du nom de l’éditeur sont de l’éditeur sont affichés pour éviter les affichés pour éviter les confusions (faux CLUF)confusions (faux CLUF)

Restrictions sur les Restrictions sur les fenêtresfenêtres

Interdiction de créer une fenêtre pop-Interdiction de créer une fenêtre pop-up sans la barre d’adresse, la barre up sans la barre d’adresse, la barre de titre et la barre d’outilsde titre et la barre d’outils

Interdiction de déplacement d’une Interdiction de déplacement d’une fenêtre par script en dehors de la fenêtre par script en dehors de la zone visible par l’utilisateurzone visible par l’utilisateur

Blocage de l’élévation de Blocage de l’élévation de zonezone

Empêche la Empêche la modification des modification des paramètres de paramètres de sécurité depuis un sécurité depuis un contenu qui s’exécute contenu qui s’exécute dans une zone dans une zone inférieureinférieure

Les pages Web qui Les pages Web qui appelles d’autres appelles d’autres pages plus privilégiées pages plus privilégiées échouent (une page échouent (une page dans la zone Internet dans la zone Internet ne peut pas naviguer ne peut pas naviguer vers une page de la vers une page de la zone Poste de travail)zone Poste de travail)

En navigant d’une En navigant d’une zone peu privilégiée zone peu privilégiée vers…vers…

..IE aura le ..IE aura le comportement comportement suivantsuivant

Poste de travailPoste de travail BlocageBlocage

Sites de confianceSites de confiance DemandeDemande

Intranet localIntranet local DemandeDemande

InternetInternet AutorisationAutorisation

Sites sensiblesSites sensibles AutorisationAutorisation

Nouvelles stratégies de Nouvelles stratégies de groupe (GPO) groupe (GPO)

Configuration utilisateur\Modèles Configuration utilisateur\Modèles d’administration\Composants Windows\d’administration\Composants Windows\Internet ExplorerInternet Explorer

Gestion des modules complémentaires : ModeGestion des modules complémentaires : Mode……

Configuration utilisateur\Modèles Configuration utilisateur\Modèles d’administration\Composants Windows\d’administration\Composants Windows\Internet Explorer\Panneau de configuration Internet Explorer\Panneau de configuration de Internet\Onglet Sécuritéde Internet\Onglet SécuritéConfiguration utilisateur\Modèles Configuration utilisateur\Modèles d’administration\Composants Windows\d’administration\Composants Windows\Internet Explorer\Panneau\Fonctionnalités Internet Explorer\Panneau\Fonctionnalités de sécuritéde sécurité

Internet Explorer, Tous les processus ou Liste Internet Explorer, Tous les processus ou Liste des processusdes processus

Messagerie et Messagerie et messagerie messagerie instantanée plus instantanée plus suressures

Messagerie et Messagerie et messagerie messagerie instantanée plus instantanée plus suressures

Pièces jointesPièces jointes

Gestion des pièces jointesGestion des pièces jointesPour gérer en un point unique la notion de Pour gérer en un point unique la notion de confiance en un type de pièce jointeconfiance en un type de pièce jointePour permettre aux applications d’avoir un moyen Pour permettre aux applications d’avoir un moyen cohérent de déterminer les pièces jointes cohérent de déterminer les pièces jointes dangereusesdangereuses

Création d’une API publique de gestion des Création d’une API publique de gestion des pièces jointes (Attachment Execution pièces jointes (Attachment Execution Services) au niveau du système pour une Services) au niveau du système pour une gestion cohérente pour toutes les applicationsgestion cohérente pour toutes les applicationsPar défaut : tout est considéré comme Par défaut : tout est considéré comme dangereuxdangereuxOutlook Express, Windows Messenger, Outlook Express, Windows Messenger, Internet Explorer utilisent la nouvelle APIInternet Explorer utilisent la nouvelle APIOuverture et exécution avec le minimum de Ouverture et exécution avec le minimum de privilègesprivilèges

Outlook ExpressOutlook Express

Aperçu de Aperçu de message plus sûrmessage plus sûrAméliorations dans Améliorations dans OE comparables à OE comparables à celles d’Outlook celles d’Outlook 2003 2003

E-mail HTML en E-mail HTML en zone Sites sensibleszone Sites sensiblesNon Non téléchargement du téléchargement du contenu HTML contenu HTML externeexterneProtection du carnet Protection du carnet d’adressesd’adressesProtection contre le Protection contre le contenu exécutablecontenu exécutable

Protection mémoireProtection mémoireProtection mémoireProtection mémoire

Réduction de Réduction de l’exposition à certains l’exposition à certains buffer overflowsbuffer overflows

Compilation avec /GS Compilation avec /GS (Visual Studio 2003)(Visual Studio 2003)

Sens croissant des adresses

Buffers Autres vars

EB

P

EIP Args

Une pile normale

Buffers Autres varsEB

P

EIP Args

cookie

Pile VC++ 2002 (avec /GS)

BuffersAutres vars

EB

P

EIP Args

cookie

Pile VC++ 2003 (avec /GS et les safe exceptions)

Prévention de l’exécution Prévention de l’exécution des donnéesdes données

Prise en charge de la Prise en charge de la protection matérielle protection matérielle contre l’exécution (NX contre l’exécution (NX : No Execute) des : No Execute) des processeurs récents processeurs récents (AMD64 / Itanium) (AMD64 / Itanium)

Seules les régions de Seules les régions de mémoire marquées mémoire marquées explicitement pour explicitement pour l’exécution peuvent l’exécution peuvent s’exécuter (mode noyau s’exécuter (mode noyau et mode utilisateur)et mode utilisateur)Activé par défaut pour Activé par défaut pour les binaires Windowsles binaires WindowsAttention : applications Attention : applications de type compilateur de type compilateur juste à tempsjuste à temps

Autres améliorationsAutres améliorationsAutres améliorationsAutres améliorations

Autres améliorationsAutres améliorations

Mises à jour automatiqueMises à jour automatiqueÉcran modal lors de l’installation sauf siÉcran modal lors de l’installation sauf si

““AutomaticUpdates=1” in the “[Data]” section of the AutomaticUpdates=1” in the “[Data]” section of the UNATTEND.TXTUNATTEND.TXT

GPOGPO

Déjà réglé pour installation planifiéeDéjà réglé pour installation planifiée

Client pour Windows Update Services (SUS2)Client pour Windows Update Services (SUS2)

Gestion de la reprise du téléchargement d’un Gestion de la reprise du téléchargement d’un correctif interrompu ou incompletcorrectif interrompu ou incomplet

Note : son réglage n’est pas modifié par SysprepNote : son réglage n’est pas modifié par Sysprep

Windows Update v5Windows Update v5

MSI 3.0MSI 3.0

Autres améliorationsAutres améliorations

Réduction de la surface d’attaque : Réduction de la surface d’attaque : désactivation du service Windows désactivation du service Windows Messenger (pop-up Windows) et Messenger (pop-up Windows) et AlerterAlerter

AutresAutresWindows Media Player 9Windows Media Player 9

DirectX 9.0bDirectX 9.0b

Bluetooth 2.0Bluetooth 2.0

Nouveau client WLAN universelNouveau client WLAN universel

Centre de sécuritéCentre de sécurité

Outil de suivi des 3 Outil de suivi des 3 étapes de étapes de protection des PCprotection des PC

Pare-feuPare-feu

Mise à jour Mise à jour automatiqueautomatique

Antivirus à jourAntivirus à jour

ConclusionConclusion

Une étape dans le voyage vers des plateformes, Une étape dans le voyage vers des plateformes, applications et périphériques sécurisésapplications et périphériques sécurisésPermettra une meilleure protectionPermettra une meilleure protection

Vous donnant du temps pour la gestion des correctifs de Vous donnant du temps pour la gestion des correctifs de sécuritésécuritéLimitant l’impact des vers et des virusLimitant l’impact des vers et des virusAugmentant la difficulté pour les attaquantsAugmentant la difficulté pour les attaquants

Large diminution de classes de vulnérabilités (vs Large diminution de classes de vulnérabilités (vs correction ponctuelle)correction ponctuelle)

Attaques réseauAttaques réseauAttaques d’ingénierie socialeAttaques d’ingénierie socialeBuffer overflowsBuffer overflows

Contrôle administratif des changementsContrôle administratif des changementsStratégie de groupe, scripts en ligne de commande, Stratégie de groupe, scripts en ligne de commande, registreregistre

Informations disponiblesInformations disponibles

Preview : Preview : http://http://www.microsoft.comwww.microsoft.com/sp2preview/sp2previewChanges to Functionality in Microsoft Windows Changes to Functionality in Microsoft Windows XP Service Pack 2 XP Service Pack 2 http://www.microsoft.com/technet/prodtechnol/whttp://www.microsoft.com/technet/prodtechnol/winxppro/maintain/winxpsp2.aspinxppro/maintain/winxpsp2.aspDeploying Internet Connection Firewall Settings Deploying Internet Connection Firewall Settings for Microsoft® Windows® XP with Service Pack for Microsoft® Windows® XP with Service Pack 22

http://www.microsoft.com/downloads/http://www.microsoft.com/downloads/details.aspx?FamilyIDdetails.aspx?FamilyID=4454e0e1-61fa-447a-bdcd-499f73a637d1&DisplayLa=4454e0e1-61fa-447a-bdcd-499f73a637d1&DisplayLang=enng=en

Windows XP Service Pack 2 White Paper Windows XP Service Pack 2 White Paper OverviewOverview

http://http://download.microsoft.comdownload.microsoft.com//downloaddownload/6/6/c/66c20c86-dcbe-4dde-bbf2-ab1fe9130a97//6/6/c/66c20c86-dcbe-4dde-bbf2-ab1fe9130a97/windowswindows%20xp%20sp%202%20white%20paper.doc%20xp%20sp%202%20white%20paper.doc

Autres ressourcesAutres ressources

Atelier Windows XP Service Pack 2Atelier Windows XP Service Pack 2

WebcastWebcast