=========================================== Réunion OSSIR groupe sécurité Windows Lundi 8 décembre 2003 =========================================== Ordre du jour : 1 - Retour d'expérience sur MSUS (Microsoft Software Update Services) (Patrice MAURAN / Genesys conferencing, Cyril Voisin / Microsoft France) 2 - Présentation du produit SafeBoot (Belkacem Ouldlazazi / Control Break International France) 3 - Revue mensuelle des vulnérabilités Microsoft (Nicolas RUFF / EdelWeb) ==================================================== 1 - Retour d'expérience sur MSUS (Microsoft Software Update Services) (Patrice MAURAN / Genesys conferencing, Cyril Voisin / Microsoft France) ==================================================== MSUS = outil gratuit fourni par Microsoft, permettant de mettre en place un serveur "WindowsUpdate" (limité aux correctifs de sécurité) sur un Intranet. Les clients Windows 2000 et Windows XP, sous réserve de disposer du client adapté (disponible gratuitement au téléchargement, inclus dans le SP3 pour Windows 2000 et le SP1 pour Windows XP), peuvent être paramétrés via une GPO pour rapatrier régulièrement les mises à jour de sécurité approuvées par l'administrateur. L'outil fonctionne donc en mode "pull HTTP". MSUS est indissociable de IIS dont il utilise le moteur (pages ASP pour l'administration, technologie BITS pour le transfert par HTTP, etc.). L'installation de MSUS provoque la sécurisation du serveur par IISLockDown, toutefois depuis MSUS SP1 les configurations existantes ne sont pas détruites. En terme de charge, le parc de Genesys se compose de 500 machines en Europe et MSUS est installé depuis 3 mois. Un autre participant évalue MSUS depuis 2 mois 1/2 sur un parc de 300 machines. Les serveurs MSUS se comportent normalement (d'après Microsoft ils sont dimensionnés pour 15 000 clients), mais il est recommandé d'étaler les dates de mise à jour à des heures et des jours différents de la semaine. D'autre part le serveur n'utilise pas de multicast et n'utilise que la bande passante disponible (technologie BITS). Le rapatriement des correctifs sur les postes peut donc être très long (de l'ordre de plusieurs jours dans le pire des cas). Il est possible de cascader les serveur MSUS afin de répartir les points de téléchargement par site - ainsi Genesys a déployé 4 serveurs (1 maître et 3 escalves). Attention toutefois à la bande passante disponible, le rapatriement complet de tous les correctifs est estimé à 550 Mo par langue gérée. L'un des facteurs limitants de la solution est le logging, basé sur l'exploitation des traces IIS. Aucun outil n'est fourni en standard, mais il existe des add-ons tels que "Client Status Monitor" disponible sur "http://www.susserver.com/". A noter que le poste peut également être configuré pour remonter les problèmes vers un serveur de "statistiques". Pour une utilisation efficace de MSUS, il est recommandé de s'inscrire sur la "mailing list" WindowsUpdate qui détaille les sorties de nouveaux patches et les causes de mise à jour. Les nouveautés du SP1 pour MSUS sont : - Possibilité d'installation sur un DC - Prise en compte des applications Web existantes lors de l'installation de IISLockDown - Lien "détails du correctif" - Clé "RescheduleWaitTime" - Clé "NoAutoRebootWithLoggedOnUsers" - Notification locale de redémarrage même lorsqu'aucun utilisateur n'est logué Plus de détails sur : http://www.microsoft.com/windowsserversystem/sus/default.mspx MSUSv2 est attendu pour début 2004. Les nouveautés actuellement prévues sont : - Téléchargement des correctifs approuvés uniquement (économise la bande passante et l'espace disque sur le serveur) - Gestion des correctifs cumulatifs (pas d'installations successives) - Génération de rapports - Terminaison automatique des "zombies" BITS - Désinstallation des correctifs désapprouvés Cette sortie s'intègre dans le cadre d'une rationalisation prévue des correctifs chez Microsoft : - Unification de WindowsUpdate et OfficeUpdate au sein de MicrosoftUpdate - Réduction du nombre de méthodes d'installation à 2 (MSI 3.0 et UPDATE.EXE) au lieu de 8 actuellement - "Delta patching" permettant de réduire la taille des fichiers de 80% (déjà en place sur WindowsUpdate) A l'horizon mai 2004, MicrosoftUpdate fournira un point d'entrée unique pour les patches Windows, Office, Visio, Exchange, SQL Server, etc. Rem. (Cyril Voisin) : suite à Blaster et compte-tenu du nombre de téléchargements du patch NT4, le support sécurité de NT4 Workstation est prolongé jusqu'à juin 2004, le support NT4 Server jusqu'à fin 2004. De la même manière le support Windows 2000 pre-SP2 a été étendu. Rem. (Nicolas RUFF) : - Un frein souvent rencontré en entreprise est la nécessité d'installer un serveur IIS pour MSUS. - Contrairement à WindowsUpdate, MSUS ne vérifie pas les numéros de license des logiciels Microsoft. - MSUS ne charge pas les correctifs "non sécurité" (drivers, add-ons). Ceci peut poser un problème dans le cas de corrections "silencieuses" (ex. DirectX 9.0b, bien que cet exemple soit à vérifier). - L'un des problèmes majeurs de MSUS est l'exploitation des traces (liste des correctifs téléchargés par client, liste des clients en cours de téléchargement, etc.). Q. Que se passe-t-il lors le correctif nécessite un reboot ? R. C'est au choix de l'administrateur de domaine qui peut décider d'imposer le reboot (avec un délai de 5 minutes offert à l'utilisateur pour sauvegarder ses travaux) ou non (via la clé "NoAutoRebootWithLoggedOnUsers"). Depuis MSUS SP1, si l'utilisateur local possède le privilège "shutdown" sur sa machine, il peut annuler le reboot. Si l'utilisateur logué est administrateur local de son poste, il peut approuver ou rejeter les correctifs proposés et contrôler le moment du reboot. Ce point pose problème chez Genesys car tous les utilisateurs sont administrateurs locaux, il a donc fallu effectuer une campagne de sensibilisation. Q. Quel est la différence entre les technologies Microsoft et les technologies Shavlik (HFNetChk) ? R. - Microsoft licencie actuellement la technologie Shavlik dans l'outil MBSA (remplaçant chez Microsoft de HFNetChk). HFNetChk Lt de Shavlik n'a plus lieu d'être puisque HFNetChk Pro (Shavlik) est maintenant gratuit pour moins de 50 adresses IP. - MBSA 1.2 (prévu pour Q1 2004) sera basée sur la dernière version du moteur de détection de Shavlik. Celui-ci repose sur la base de données XML des correctifs "mssecure.xml". Il est déconseillé de développer directement autour de cette base car son schéma va changer dans les versions futures pour être rendu plus cohérent. - Le système de détection de WindowsUpdate est totalement indépendant de ces technologies. ==================================================== 2 - Présentation du produit SafeBoot (Belkacem Ouldlazazi / Control Break International France) ==================================================== SafeBoot est un produit de sécurisation des nomades offrant les fonctionnalités suivantes : - Chiffrement complet et transparent du disque dur par des algorithmes éprouvés (DES, AES ou autres) - Fonctionnalités additionnelles telles que : * "File Encryptor" : permet de chiffrer un ou plusieurs fichiers par des méthodes traditionnelles (pour échange par messagerie par exemple) * "VDisk" : permet de chiffrer des unités amovibles * Contrôle applicatif : permet d'interdire l'exécution d'applications choisies par l'administrateur sur le poste ("black list"). Le mode de contrôle des applications (nom, emplacement, checksum, signature) n'est pas connu. - Protection par mot de passe, carte à puce ou token dès le boot de la machine - Possibilité d'administration centralisée - 32 niveaux d'administration (utilisateur, administrateur, gestionnaire de recouvrement, etc.) - Produit existant depuis plus de 14 ans avec des références prestigieuses * Cette solution a été retenue par le Conseil Général des Bouches du Rhone pour équiper 56000 portables NEC distribués dans les écoles. A noter que le produit s'intègre avec une solution matérielle développée par NEC pour verrouiller le portable au bout de 7 jours d'inactivité sur le réseau de l'école. Plus d'information sur le site du Conseil Général : http://www.cg13.fr/ - Disponible sous Windows pour PC, PocketPC et TabletPC * PocketPC : l'équipement peut être bloqué après 3 essais infructueux * TabletPC : le clavier tactile est géré au boot Dans le cas où l'administration est centralisée, un agent est présent sur le poste et reçoit la configuration du serveur (mode "push") lorsque le portable est connecté au réseau d'entreprise. Aucun détail technique sur le protocole utilisé n'est connu. A noter que le client peut également fonctionner sans serveur central, qui ne se justifie que dans un parc relativement important. Les systèmes d'authentification gérés comprennent les systèmes Aladdin, GemPlus et ActivCard, pour lesquels des drivers "16 bits" (pouvant être lancés au boot) ont été développés. D'autres périphériques sont en cours d'intégration. Le produit est complètement transparent pour l'utilisateur. Sur les portables modernes l'impact du chiffrement ne dépasse pas 2% du CPU. Les évolutions attendues prochainement sont : - Support de la biométrie - Support Linux - Support Palm - Certification Critères Communs Q. Le produit peut-il être installé sur une partition et non sur le MBR, ce qui permettrait de le faire cohabiter avec LILO ou GRUB par exemple ? R. Ce point serait à confirmer mais a priori non. ==================================================== 3 - Revue mensuelle des vulnérabilités Microsoft (Nicolas RUFF / EdelWeb) ==================================================== Les vulnérabilités les plus récentes des environnements Microsoft sont passées en revue. La prochaine réunion du groupe se tiendra le 12 janvier 2004. Le groupe est ouvert à toute proposition d'intervention et/ou d'hébergement.